Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NT4 Migration zu ADS: Kopieren der SID, Domänenname

Frage Microsoft Windows Server

Mitglied: jojo26

jojo26 (Level 1) - Jetzt verbinden

01.12.2006, aktualisiert 21:42 Uhr, 5398 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.

Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)

Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.

... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.


2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme


Mit freundlichen Grüßen
Jojo
Mitglied: Zitruslimmonade
01.12.2006 um 12:07 Uhr
zu deiner zweiten frage kann ich einfach mal nur sagen.. steht in den büchern das es schneller sein soll also von auflösung usw.. praktisch ahbe ich diese erfahrungen ein paar mal machen können...
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...

ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:23 Uhr
Hi,

die SID kann man nicht kopieren ...

.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...

Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.

Grüsse und viel Erfolg mit dem Projekt

Randy
Bitte warten ..
Mitglied: jojo26
01.12.2006 um 13:50 Uhr
danke für die informativen antworten. das is ja man schade mit der sid ;(

ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.

gruss
jojo
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:58 Uhr
ok ... danke ... probier ich aus.

gruss
Randy
Bitte warten ..
Mitglied: DaSam
01.12.2006 um 21:42 Uhr
Hola,

der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.

ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.

Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.

BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.

Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.

<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>

cu,
Alex
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
Migration auf Exchange 2016 wegen Firmenübernahme (5)

Frage von IT666IT zum Thema Exchange Server ...

Batch & Shell
Ordner erstellen ll Datei hinein kopieren (1)

Frage von heyalice zum Thema Batch & Shell ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...