Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)?

Frage Microsoft Windows Server

Mitglied: Bytebeast

Bytebeast (Level 1) - Jetzt verbinden

13.01.2010, aktualisiert 15:50 Uhr, 10385 Aufrufe, 3 Kommentare

Hallo,
ich bin momentan in der Findungsphase für ein Tool, mit dem eine Domainmigration am problemlosesten möglich ist.
Vielleicht kann mir jemand einen Tipp geben, auf was ich prinzipiell achten sollte sollte und hat vielleicht einen
weiterführenden Link zu einer Informationsquelle?
Dazu ein paar Fragen, vielleicht hat jemand Ideen.

Ist-Situation:

Zwei Domains mit bestehender Vertrauensstellung.

Domain.neu ist die Domain mit den meisten Objekten und bleibt erhalten.
Domain.alt soll komplett in Domain.neu integriert werden.

In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu bereits benutzen
und auf Shares zugreifen müssen. Trotzdem melden sich die Benutzer aus Domain.alt noch an Domain.alt an, dort liegen auch die User-Profile.

___

ADMT wird auf dem Domaincontroller der Domain.alt installiert und soll folgende Objekte migrieren:

- Gruppen
- Benutzer
- Computer (Workstation und Server)
- NTFS-Rechte
- Benutzerprofile

Jetzt bin ich (unter anderem) mit folgendem Problem konfrontiert:
Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?

Für Bemerkungen und Anregungen wäre ich sehr dankbar.

Gruß
BB
Mitglied: Yusuf-Dikmenoglu
13.01.2010 um 20:10 Uhr
Servus,

Zitat von Bytebeast:
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu
bereits benutzen und auf Shares zugreifen müssen.

warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...


Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten
Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?

Es werden keine "doppelten" Konten erstellt, sondern garkeine! Denn wenn die neuen Benutzer in der neuen Domäne gleich lauten
und die gleichen Datennamen beinhalten, schlägt ADMT fehl. Genau darauf zielte ich oben. Mit dieser Variante so wie du es gewählt hast,
hast du noch viel zu tun und das auch noch unnötig. Du könntest jetzt zwar noch mit ADMT die Computerkonten migrieren und hättest dann
die Clients in der neuen Domäne, doch somit gehen die alle Profile auf den Clients verloren.

Idealerweise hätte man die Benutzer-, Gruppen- und Computerkonten mit ADMT migriert und im Falle von Exchange eine
INTER-ORG Migration durchgeführt, falls ebenfalls in der Quell-Domäne Exchange bereits eingesetzt wurde. Somit hättest du mit "einfachen"
und kostenlosen Mitteln die Migration vollzogen.

Wenn du es luxeriöser haben möchtest, könntest du die Migrationswerkzeuge von Quest einsetzen.
Kosten zwar für die Domänen- (ca. 12 Euro pro User) sowie Exchange-Migration (ca. 13 Euro pro Postfach) paar Euros, aber dafür hättest du
ein einfaches und komfortables Werkzeug, um die schwierige Aufgabe (eine Migration durchführen) mit großem Erfolg zu bewerkstelligen.

Was die Domänenmigration betrifft, wirf einen Blick hierauf:

[LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen]
http://blog.dikmenoglu.de/Eine+Dom%c3%a4nenmigration+Durchf%c3%bchren.a ...

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff auf die Ressource bekommt.

Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.

Zum Migrieren der Benutzerprofile musst du im ersten Schritt den Benutzer und im zweiten, den Client migrieren.
Beim zweiten Schritt "übersetzt" man die lokalen Ressourcen (Profile, lokale Drucker etc).



Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Bytebeast
14.01.2010 um 14:04 Uhr
Hallo und danke für deine Einschätzung und die umfangreiche Antwort..

> Zitat von Bytebeast:
> ----
> In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in
Domain.neu
> bereits benutzen und auf Shares zugreifen müssen.

Zitat von Yusuf-Dikmenoglu:
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...

Das ist der Zustand, bei dem ich jetzt eingestiegen bin und war schon so.
Ich bin Teil eines Teams, welches eine Migration bisher noch nicht durchgeführt hat.

Die Accounts, die bereits in der neuen Domain erstellt wurden, haben nicht den gleichen Namen.
Momentan ist es so, dass sich die User aus der alten Domain mit den Accountdaten aus der neuen
Anmelden müssen (Doppelanmeldung), um auf Daten zuzugreifen.

Soweit ich es verstanden haben wird also in diesem Fall ein (wie du bereits erwähntest) neues Benutzerkonto + SID in der neuen Domain erstellt.
Damit hätte jeder user 2 Accounts, einmal den alten Account inklusive SIDHistory und den bereits bestehenden. Da die bereits bestehenden
Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....

Gruß
BB


Ich habe mir deinen Blog durchgelesen und fand ihn sehr informativ. Momentan lese ich das Whitepaper zur Migration mit ADMT (V 3.0)
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
14.01.2010 um 21:00 Uhr
Zitat von Bytebeast:
Da die bereits bestehenden Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory
and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....

Das funktioniert nicht. Das funktioniert lediglich wenn die Migration mit einem Werkzeug wie ADMT oder Quest durchgeführt wird.
Ein nachträgliches händisches setzen der sIDHistory in den neuen Benutzerkonten geht nicht.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Migration Windows Server 2003 auf 2012 "offline" möglich? (7)

Frage von Christtian zum Thema Windows Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...