Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

NT4 Migration zu ADS: Kopieren der SID, Domänenname

Mitglied: jojo26

jojo26 (Level 1) - Jetzt verbinden

01.12.2006, aktualisiert 21:42 Uhr, 5432 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.

Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)

Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.

... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.


2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme


MfG
Jojo
Mitglied: Zitruslimmonade
01.12.2006 um 12:07 Uhr
zu deiner zweiten frage kann ich einfach mal nur sagen.. steht in den büchern das es schneller sein soll also von auflösung usw.. praktisch ahbe ich diese erfahrungen ein paar mal machen können...
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...

ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:23 Uhr
Hi,

die SID kann man nicht kopieren ...

.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...

Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.

Grüsse und viel Erfolg mit dem Projekt

Randy
Bitte warten ..
Mitglied: jojo26
01.12.2006 um 13:50 Uhr
danke für die informativen antworten. das is ja man schade mit der sid ;(

ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.

gruss
jojo
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:58 Uhr
ok ... danke ... probier ich aus.

gruss
Randy
Bitte warten ..
Mitglied: DaSam
01.12.2006 um 21:42 Uhr
Hola,

der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.

ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.

Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.

BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.

Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.

<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>

cu,
Alex
Bitte warten ..
Ähnliche Inhalte
Windows Server
Migration ADS von 2003 auf Server 2012
Frage von rel0aded0neWindows Server6 Kommentare

Hallo an alle :) Ich habe eine Frage zu einer Testumstellung an der ich gerade sitze. Ich habe folgende ...

Windows Installation
SID vs WSUS-SID?
Frage von 114068Windows Installation1 Kommentar

Hallöchen, weiß jemand, ob es einen Unterschied zwischen einer SID und einer WSUS SID gibt? Kommt mir halt etwas ...

Windows Server
AD Domänenname als WWW-Subdomain
gelöst Frage von MasterPhilWindows Server1 Kommentar

Hallo Zusammen, wir haben unsere Domäne neu aufgesetzt und anstatt wie bisher die TLD ".local", eine Subdomain unserer bestehenden ...

DNS
DNS Server löst Domänenname nicht auf!
gelöst Frage von Mar-westDNS8 Kommentare

Hallo Freunde, ich habe das Problem das mein DNS Server den Domänen Namen nicht auflöst. Folgendes: Ich möchte einen ...

Neue Wissensbeiträge
Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 3 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 8 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement21 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...