Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NT4 Migration zu ADS: Kopieren der SID, Domänenname

Mitglied: jojo26

jojo26 (Level 1) - Jetzt verbinden

01.12.2006, aktualisiert 21:42 Uhr, 5448 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.

Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)

Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.

... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.


2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme


MfG
Jojo
Mitglied: Zitruslimmonade
01.12.2006 um 12:07 Uhr
zu deiner zweiten frage kann ich einfach mal nur sagen.. steht in den büchern das es schneller sein soll also von auflösung usw.. praktisch ahbe ich diese erfahrungen ein paar mal machen können...
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...

ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:23 Uhr
Hi,

die SID kann man nicht kopieren ...

.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...

Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.

Grüsse und viel Erfolg mit dem Projekt

Randy
Bitte warten ..
Mitglied: jojo26
01.12.2006 um 13:50 Uhr
danke für die informativen antworten. das is ja man schade mit der sid ;(

ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.

gruss
jojo
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:58 Uhr
ok ... danke ... probier ich aus.

gruss
Randy
Bitte warten ..
Mitglied: DaSam
01.12.2006 um 21:42 Uhr
Hola,

der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.

ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.

Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.

BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.

Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.

<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>

cu,
Alex
Bitte warten ..
Ähnliche Inhalte
Windows Server
Migration ADS von 2003 auf Server 2012
Frage von rel0aded0neWindows Server6 Kommentare

Hallo an alle :) Ich habe eine Frage zu einer Testumstellung an der ich gerade sitze. Ich habe folgende ...

Windows Server
AD Domänenname als WWW-Subdomain
gelöst Frage von MasterPhilWindows Server1 Kommentar

Hallo Zusammen, wir haben unsere Domäne neu aufgesetzt und anstatt wie bisher die TLD ".local", eine Subdomain unserer bestehenden ...

DNS

DNS Server löst Domänenname nicht auf!

gelöst Frage von Mar-westDNS8 Kommentare

Hallo Freunde, ich habe das Problem das mein DNS Server den Domänen Namen nicht auflöst. Folgendes: Ich möchte einen ...

Windows Server

Manuelles eintragen der SID in die SID-History von neuen Usern

gelöst Frage von DerWindoofFuchsWindows Server2 Kommentare

Guten Tag Zusammen, hab da ein kleines Problem Domain-A = alt Domain-B = neu Domains sind Trusted. ich sollte ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 15 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 18 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 1 TagWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell16 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...