none
Single Label Domain RRS feed

  • Frage


  • wir haben ein Problem bei der Implementierung von einem Share Point 2013 Server in unser Firmennetzwerk, da wir noch eine Single Label Domain betreiben und die Installation in einer solchen Domäne nicht unterstützt wird. 

    Folgende Netzwerkstruktur ist gegeben:
     
    - ca. 350 Clients
    - Domänencontroller Server 2008 / Funktionsebene 2008R2
    - SAN via iSCSI an Domänencontroller 

    Folgende Fragen stellen sich uns:
     
    Möglichkeit: Erstellung neue Domäne (Server2012R2)
     
    - Bei Erstellung einer neuen Domäne in parallel Betrieb, wie verhält es sich bei eingerichteter Vertrauensstellung zur alten Domäne mit einen gleichzeitigem Zugriff auf die SAN?
    - Können ADS User inkl. Kennwörter in die neue Domäne migriert werden?
    - Kann die NTFS Berechtigungsstruktur auf diverse Freigaben migriert bzw. übernommen werden?
    - ist ein parallel Betrieb von zwei Stammdomänen ohne Probleme möglich?
    - können die lokalen Benutzerprofile auf den jeweiligen Clients in die neuen Profile migriert werden?
     
    Möglichkeit. Rename Domain mit rendom.exe
     
    - ist eine Nutzung des Tools in einer solchen Umgebung überhaupt möglich bzw. empfehlenswert?

    - welche Fallstricke könnten bei der Nutzung auf uns zu kommen?

    Für zahrleiche hilfreiche Antworten wäre ich sehr dankbar.

    MfG

    Donnerstag, 24. Juli 2014 11:18

Antworten

  • Hi,

    Am 24.07.2014 um 13:18 schrieb ServeCom_CR:

    Möglichkeit: Erstellung neue Domäne (Server2012R2)

    ADMT bietet den Vorteil: Du gewinnst Zeit und die migrierte Objekte können eine SID History haben, also eine SID aus der alten Umgebung und eine aus der neuen.
    Zugriff in beide Welten ist möglich, bis irgendwann die alte abgeschaltet wird.

    Nachteil: Alle Einstellungen werden kopiert. "Migrieren" ist nur ein schöneres Wort. Berechtigungen von alt auf neu in einem 20TB SAN kann dann schon mal dauern ...

    Dauer? Daumenwert: 2 Stunden pro Workstation, 4 Stunden pro Server.
    Workstations brauchen idR nur 10 Minuten, aber einzelne Server kosten richtig Zeit: Rechte im Dateisystem, hardcodierte LDAP PFade in Programmen, integrierte Datenbank Rechte etc.

    Möglichkeit. Rename Domain mit rendom.exe

    Nur möglich mit Exchange 2003 SP1, davor und danach keine Chance.

    Vorteil: Es ändert sich keine einzige SID. Nur der Name wird mit einem XML geändert. Alle Rechner starten 2mal, damit sie es wissen, fertig.

    Nachteil: Es findet "jetzt" statt. In einer Verwaltung ist das möglich, in einer 24h Produktion nicht. Alle Rechner müssen 2mal neugestartet werden. Die Zeit muss man auch haben.

    Ich habe rendom schon in größeren als deinem Netzwerk gemacht, das klappt einwandfrei, wenn man die Zeit für den Stillstand hat.

    Dauer:
    1 Tag, Backup und Restore Test, parallel zum laufenden Betrieb, zB in VM
    1 Tag Umstellung, 1 Tag "Luft"

    Wenn rendom nicht klappt, hast du wenig Zeit verspielt und der Weg von ADMT steht dir immer als Alternative zur Verfügung.

    Solange rendom möglich ist (Exchange ist die Bremse) würde ich den Weg immer gehen.

    Umbenennen einer AD-Domäne - Step-by-Step
    http://www.faq-o-matic.net/2008/09/02/umbenennen-einer-ad-domaene/

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 24. Juli 2014 12:58
  • Am 28.07.2014 um 08:24 schrieb ServeCom_CR:

    Weißt auch wie sich etwaige Datenbankanwendungen bzw. Server bei
    einem Domainrename verhalten? z.b.:Oracle, SQL etc.?

    Normalerweise, ist denen der Name der Domäne egal.
    der NetBIOS Name der Domäne könnte eher problematisch sein, wenn dieser auch geändert wird.
    Deine Dienstkonten sind meist mit "ALTEDOMAIN\Konto" eingetragen, wenn sich der Name ändert, starten die Dienste nicht mehr. Die musst du dann auch anpassen, aber das ist mit den GPP Dienste über die Richtlinien ganz einfach.

    Außerdem betreiben wir noch eine AS400.

    Hm, keine Ahnung. Fragt die LDAP Pfade oder verwendet die DNS Einträge?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 28. Juli 2014 09:07

Alle Antworten

  • Hi,

    Am 24.07.2014 um 13:18 schrieb ServeCom_CR:

    Möglichkeit: Erstellung neue Domäne (Server2012R2)

    ADMT bietet den Vorteil: Du gewinnst Zeit und die migrierte Objekte können eine SID History haben, also eine SID aus der alten Umgebung und eine aus der neuen.
    Zugriff in beide Welten ist möglich, bis irgendwann die alte abgeschaltet wird.

    Nachteil: Alle Einstellungen werden kopiert. "Migrieren" ist nur ein schöneres Wort. Berechtigungen von alt auf neu in einem 20TB SAN kann dann schon mal dauern ...

    Dauer? Daumenwert: 2 Stunden pro Workstation, 4 Stunden pro Server.
    Workstations brauchen idR nur 10 Minuten, aber einzelne Server kosten richtig Zeit: Rechte im Dateisystem, hardcodierte LDAP PFade in Programmen, integrierte Datenbank Rechte etc.

    Möglichkeit. Rename Domain mit rendom.exe

    Nur möglich mit Exchange 2003 SP1, davor und danach keine Chance.

    Vorteil: Es ändert sich keine einzige SID. Nur der Name wird mit einem XML geändert. Alle Rechner starten 2mal, damit sie es wissen, fertig.

    Nachteil: Es findet "jetzt" statt. In einer Verwaltung ist das möglich, in einer 24h Produktion nicht. Alle Rechner müssen 2mal neugestartet werden. Die Zeit muss man auch haben.

    Ich habe rendom schon in größeren als deinem Netzwerk gemacht, das klappt einwandfrei, wenn man die Zeit für den Stillstand hat.

    Dauer:
    1 Tag, Backup und Restore Test, parallel zum laufenden Betrieb, zB in VM
    1 Tag Umstellung, 1 Tag "Luft"

    Wenn rendom nicht klappt, hast du wenig Zeit verspielt und der Weg von ADMT steht dir immer als Alternative zur Verfügung.

    Solange rendom möglich ist (Exchange ist die Bremse) würde ich den Weg immer gehen.

    Umbenennen einer AD-Domäne - Step-by-Step
    http://www.faq-o-matic.net/2008/09/02/umbenennen-einer-ad-domaene/

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 24. Juli 2014 12:58
  • Vielan Dank für deine umfassende Einschätzung.

    Weißt auch wie sich etwaige Datenbankanwendungen bzw. Server bei einem Domainrename verhalten? z.b.:Oracle, SQL etc.?

    Außerdem betreiben wir noch eine AS400.

    Montag, 28. Juli 2014 06:24
  • Am 28.07.2014 um 08:24 schrieb ServeCom_CR:

    Weißt auch wie sich etwaige Datenbankanwendungen bzw. Server bei
    einem Domainrename verhalten? z.b.:Oracle, SQL etc.?

    Normalerweise, ist denen der Name der Domäne egal.
    der NetBIOS Name der Domäne könnte eher problematisch sein, wenn dieser auch geändert wird.
    Deine Dienstkonten sind meist mit "ALTEDOMAIN\Konto" eingetragen, wenn sich der Name ändert, starten die Dienste nicht mehr. Die musst du dann auch anpassen, aber das ist mit den GPP Dienste über die Richtlinien ganz einfach.

    Außerdem betreiben wir noch eine AS400.

    Hm, keine Ahnung. Fragt die LDAP Pfade oder verwendet die DNS Einträge?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 28. Juli 2014 09:07