8
Windowsdomäne umbenennen (Erfahrungsberichte)
Hallo Admins,
gibt es zum Thema AD-Umbennen Erfahrungsberichte von euch?
Das es nicht die schönste Variante ist um einen neuen lokalen Domänenname zu erhalten sei mal dahingestellt. Mir geht es grundsätzlich mal darum, ob es von euch jemand gibt der dies schon aktiv durchgeführt hat und sagen kann ob es möglich ist bzw. auf gewisse stolbersteine hinweisen kann.
Umgebung wäre eine Windows Dom mit 5 Servern. Einer davon als DC mit DNS. 2 SQL (gemischt installiert). AzureAD-Connect. EX wurde schon vor längerem zu EXO migriert.
User arbeiten wie ThinClient (Igel) auf einem WTS
Vorgehn würde ich wie folgt:
-> https://www.s2dt.de/cms/2016/04/27/windows-domain-umbenennen/
-> 2ter SA user in den SQL-Servern anlegen, damit man sich nicht ausschließt
-> danach 2mal Reboot der Server. Anmeldung an neuer Dom ( wie in Punkt 1 )
-> Anpassung DNS
-> SQL-Anmeldung via DOM anpassen über 2ten SA
-> AzureAD-Connect neu einrichten.
Gibts hierzu erfahrungswerte von euch ? Auf welche Probleme könnte ich stoßen ?
Wichtig: -> Was keinen etwas bringt sind kommentare wie "Wie kann man das nur so machen... usw.". Es geht hierbei erstmal nur um eine Projektierung. Was möglich wäre und was nicht.
Danke euch mal für die Sinnvollen Antworten.
gibt es zum Thema AD-Umbennen Erfahrungsberichte von euch?
Das es nicht die schönste Variante ist um einen neuen lokalen Domänenname zu erhalten sei mal dahingestellt. Mir geht es grundsätzlich mal darum, ob es von euch jemand gibt der dies schon aktiv durchgeführt hat und sagen kann ob es möglich ist bzw. auf gewisse stolbersteine hinweisen kann.
Umgebung wäre eine Windows Dom mit 5 Servern. Einer davon als DC mit DNS. 2 SQL (gemischt installiert). AzureAD-Connect. EX wurde schon vor längerem zu EXO migriert.
User arbeiten wie ThinClient (Igel) auf einem WTS
Vorgehn würde ich wie folgt:
-> https://www.s2dt.de/cms/2016/04/27/windows-domain-umbenennen/
-> 2ter SA user in den SQL-Servern anlegen, damit man sich nicht ausschließt
-> danach 2mal Reboot der Server. Anmeldung an neuer Dom ( wie in Punkt 1 )
-> Anpassung DNS
-> SQL-Anmeldung via DOM anpassen über 2ten SA
-> AzureAD-Connect neu einrichten.
Gibts hierzu erfahrungswerte von euch ? Auf welche Probleme könnte ich stoßen ?
Wichtig: -> Was keinen etwas bringt sind kommentare wie "Wie kann man das nur so machen... usw.". Es geht hierbei erstmal nur um eine Projektierung. Was möglich wäre und was nicht.
Danke euch mal für die Sinnvollen Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7174998401
Url: https://administrator.de/contentid/7174998401
Printed on: April 28, 2024 at 04:04 o'clock
8 Comments
Latest comment
Hi,
eine Umbenennung eines DC´s kann schon ziemlich Kritsch werden (ohne Fachwissen).
„Meines“ Wissens nach, kann man auch nicht so ohne weiteres eine komplette Domäne umbenennen, und würde dir davon dringend abraten.
Ich denke, dass das einen riesigen Rattenschwanz nach sich ziehen würde, und dir mehr Probleme bereitet als dir lieb ist.
Neuaufsetzen der kompletten Domäne und Umzug bedeutet natürlich eine Menge Arbeit und Vorbereitung. Ist aber denke ich, die "sauberste“ Lösung. Und besser ein gerades / sauberes Grundfundament als die Holzhammer Taktik/ Methode.
Grüße
eine Umbenennung eines DC´s kann schon ziemlich Kritsch werden (ohne Fachwissen).
„Meines“ Wissens nach, kann man auch nicht so ohne weiteres eine komplette Domäne umbenennen, und würde dir davon dringend abraten.
Ich denke, dass das einen riesigen Rattenschwanz nach sich ziehen würde, und dir mehr Probleme bereitet als dir lieb ist.
Neuaufsetzen der kompletten Domäne und Umzug bedeutet natürlich eine Menge Arbeit und Vorbereitung. Ist aber denke ich, die "sauberste“ Lösung. Und besser ein gerades / sauberes Grundfundament als die Holzhammer Taktik/ Methode.
Grüße
Moin,
Es gibt ja immer zwei Ansätze:
alles neu und auf der grünen Wiese
alles neu & Altdaten kopieren
neue Domain aufsetzen + Vertrauensstellung
Es gibt ja immer zwei Ansätze:
alles neu und auf der grünen Wiese
- User neu anlegen
- Computerkonten neu hinzufügen
- Rechte auf den FileShares nachziehen
alles neu & Altdaten kopieren
- neue Domain aufsetzen
- Alle Objekte via ADMT übernehmen, sodass die SID kopiert werden
neue Domain aufsetzen + Vertrauensstellung
- neue Domain aufsetzen
- Vertrauensstellung zwischen beiden Domains herstellen
- alles in Ruhe in die neue Domain übernehmen
Zitat von @Scrises:
gibt es zum Thema AD-Umbennen Erfahrungsberichte von euch?
Das es nicht die schönste Variante ist um einen neuen lokalen Domänenname zu erhalten sei mal dahingestellt. Mir geht es grundsätzlich mal darum, ob es von euch jemand gibt der dies schon aktiv durchgeführt hat und sagen kann ob es möglich ist bzw. auf gewisse stolbersteine hinweisen kann.
Umgebung wäre eine Windows Dom mit 5 Servern. Einer davon als DC mit DNS. 2 SQL (gemischt installiert). AzureAD-Connect. EX wurde schon vor längerem zu EXO migriert.
User arbeiten wie ThinClient (Igel) auf einem WTS
Das es nicht die schönste Variante ist um einen neuen lokalen Domänenname zu erhalten sei mal dahingestellt. Mir geht es grundsätzlich mal darum, ob es von euch jemand gibt der dies schon aktiv durchgeführt hat und sagen kann ob es möglich ist bzw. auf gewisse stolbersteine hinweisen kann.
Umgebung wäre eine Windows Dom mit 5 Servern. Einer davon als DC mit DNS. 2 SQL (gemischt installiert). AzureAD-Connect. EX wurde schon vor längerem zu EXO migriert.
User arbeiten wie ThinClient (Igel) auf einem WTS
Da wir nicht wissen, wie die Exchange Migration erfolgt ist, dürfte es wohl daran scheitern.
Moin,
Gruß,
Dani
gibt es zum Thema AD-Umbennen Erfahrungsberichte von euch?
reden wir wirklich von Umbenennen oder einem Domain Cross Forest Migration? Das sind nämlich zwei komplett unterschiedliche Thematiken und Herangehensweisen.-> 2ter SA user in den SQL-Servern anlegen, damit man sich nicht ausschließt
Ein SA Benutzer ist nichts anderes wie ein SQL Benutzer. Da kann man sich eigentlich nur ausschließen, wenn man das Passwort nicht mehr weiß. Durch eine Umbenennen oder Migration des ADs sicherlich nicht.Gibts hierzu erfahrungswerte von euch ? Auf welche Probleme könnte ich stoßen ?
Ich könnte dir jetzt grob 400 Applikationen aufzählen, die bei uns Probleme machen. 3/4 davon wird vermutlich nichts sagen. Daher zähle doch am Besten eure genutzten Windows Server Rollen und Softwareprodukte auf. Es fängt an, dass Lizenz Server sich deaktivieren. Geht weiter, dass Applications für ein Pseudo SSO die Domänen-Namen in der DB speichern, so dass die Anmeldung der User hinterher nicht funktioniert, bis hin zu AD Schemaerweiterungen.Umgebung wäre eine Windows Dom mit 5 Servern. Einer davon als DC mit DNS. 2 SQL
1x DC + 2x SQL sind 3. 5-3 ergibt 2. Was machen die restlichen beiden Servern?Gruß,
Dani
-> 2ter SA user in den SQL-Servern anlegen, damit man sich nicht ausschließt
sa ist ein SQL Benutzer, der hat mit der Domäne nichts zu tun.
Die Windows-Berechtigungen werden auf Windows SID Basis vergeben, und die User ändern ihre SIDs nach Umbenennung der Domäne nicht oder sind fix, wie die vom Domänen-Admin 1-5-18
Aber das Dienstekonto wird kaputtgehen... sobald der SQL Server die Domäne verläßt oder einer anderen Domäne beitritt. Es sei denn der SQL Server läuft unter "local system"
Edit: Domänen benennt man nicht um, das ist worst pratice ever.
sa ist ein SQL Benutzer, der hat mit der Domäne nichts zu tun.
Die Windows-Berechtigungen werden auf Windows SID Basis vergeben, und die User ändern ihre SIDs nach Umbenennung der Domäne nicht oder sind fix, wie die vom Domänen-Admin 1-5-18
Aber das Dienstekonto wird kaputtgehen... sobald der SQL Server die Domäne verläßt oder einer anderen Domäne beitritt. Es sei denn der SQL Server läuft unter "local system"
Edit: Domänen benennt man nicht um, das ist worst pratice ever.
Nun habe ich einmal gemacht. Mach ich nie wieder.
Ich setzt lieber eine neue AD Struktur auf und migriere die Benutzer.
Hinterher gab es lauter Probleme. Teilweise haben die Logins nicht mehr funktioniert,
dann haben z.b. Zuordnungen welche auf den Distinguished Name zugreifen bzw. verwenden
mal funktioniert und mal nicht. Netbios hat totale Probleme gemacht. Es gibt hier zig
Anwendungen welche im Hintergrund noch NBIO einsetzen.
Die Drucker auf dem Printserver hatten schmerzen ohne Ende usw.....
Ach ja und dann noch die etlichen Anwendungen und Logins dazugehörend welche nicht mehr wollten.......
Warum willst du denn die Domäne umbenennen ? Wegen Office 365 und EX Hybrid ?
Da würde ich lieber eine Domäne hinzufügen sodass du dann nur die UPN anpassen musst. Der SAM Account Name bleibt dann bei DOMAINNETBIONAME\Benutzer. Anmelden sollen sich die User dann in Zukunft mit ihrer E-Mail wenn gleich.
Das Umbenennen einer Domäne macht man eben nicht mal so.
Wenn Ihr eine oder Mehrere Zertifizierungsstellen habt dann gibts hier alleine schon mehrere Sachen welche beachtet werden müssen + Kerberos + NTLM und und und GPO und und und
Ich würde es nicht machen. Lieber Neu anfangen und Benutzer umziehen. Über wie viele User reden wir hier eigentlich ?
Ich setzt lieber eine neue AD Struktur auf und migriere die Benutzer.
Hinterher gab es lauter Probleme. Teilweise haben die Logins nicht mehr funktioniert,
dann haben z.b. Zuordnungen welche auf den Distinguished Name zugreifen bzw. verwenden
mal funktioniert und mal nicht. Netbios hat totale Probleme gemacht. Es gibt hier zig
Anwendungen welche im Hintergrund noch NBIO einsetzen.
Die Drucker auf dem Printserver hatten schmerzen ohne Ende usw.....
Ach ja und dann noch die etlichen Anwendungen und Logins dazugehörend welche nicht mehr wollten.......
Warum willst du denn die Domäne umbenennen ? Wegen Office 365 und EX Hybrid ?
Da würde ich lieber eine Domäne hinzufügen sodass du dann nur die UPN anpassen musst. Der SAM Account Name bleibt dann bei DOMAINNETBIONAME\Benutzer. Anmelden sollen sich die User dann in Zukunft mit ihrer E-Mail wenn gleich.
Das Umbenennen einer Domäne macht man eben nicht mal so.
Wenn Ihr eine oder Mehrere Zertifizierungsstellen habt dann gibts hier alleine schon mehrere Sachen welche beachtet werden müssen + Kerberos + NTLM und und und GPO und und und
Ich würde es nicht machen. Lieber Neu anfangen und Benutzer umziehen. Über wie viele User reden wir hier eigentlich ?
@GrueneSosseMitSpeck
Funktioniert nach wie vor und wenn die Rahmenbedingungen stimmen, ist das der einfachste Weg.
https://www.msxfaq.de/windows/domain_rename.htm
Gruß,
Dani
Funktioniert nach wie vor und wenn die Rahmenbedingungen stimmen, ist das der einfachste Weg.
https://www.msxfaq.de/windows/domain_rename.htm
Gruß,
Dani
