none
Unterdomäne lösen und selbständig machen RRS feed

  • Frage

  • Hallo zusammen,

     

    vielleicht könnte mir jemand weiterhelfen: Wir haben eine Unterdomäne die auf einem eigenen DC läuft. Diese würden wir gerne von der Hauptdomäne lösen und auf einen eigenen PDC laufen lassen. Diese Unterdomäne soll also komplett eigenständig laufen und nichts mehr mit dem alten AD zu tun haben.

     

    Im Internet habe ich da nicht viel zu gefunden. Es kommt jedoch nicht in Frage, alles neu aufzusetzen. Dafür sind die Strukturen einfach zu komplex und es wäre zu aufwändig alle Clients neu einzubinden und auch Benutzerprofile zu migrieren.

     

    Vielen Dank euch im voraus für gute Tipps :-)

    Samstag, 11. März 2017 08:46

Antworten

Alle Antworten

  • Hi,
     
    Am 11.03.2017 um 09:46 schrieb cdn_h:
    > [...] Diese Unterdomäne soll also komplett eigenständig laufen und
    > nichts mehr mit dem alten AD zu tun haben.
     
    Nein. Das geht nicht.
     
    Solche Entscheidungen muss man VOR dem Aufbau eines AD berücksichtigen
    und eine Domäne, die evtl. mal raqusgelöst werden soll, garnicht
    erst als Subdomäne integrieren.
     
    Einzige Lösung:
    Du nimmt einen DC aus der Root mit in die "neue" Umgebung, es bleibt bei
    "Root+Sub", ABER: Die beiden ADs dürfen sich NIE WIEDER sehen.
     
    Oder Neuinstallation. Oder ADMT, was praktisch eine Neuinstallation ist,
    aber zumindest die Objekte kopieren kann (zum Teil).
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 11. März 2017 09:00
  • Moin,

    wenn die derzeitige Subdomain ihren Namen behalten soll, bleibt Dir nichts übrig als den Root-DC mitzuschleppen. Und es ist auch kein "Ballast" - wenn Du den verlierst, kannst Du keine Schema-Erweiterungen mehr vornehmen usw. Insbesondere wenn auch Exchange im Spiel ist, ist Dein Root-DC sehr wichtig.

    Kann hingegen die Domäne zur Trennung umbenannt werden, da kannst Du mit Third-Party-Tool mehr oder weniger geräuschlos migrieren, je nachdem, was für Server und Applikationen mitgenommen werden müssen.

    Alles in allem halte ich den Mehraufwand des dauerhaften Betriebs des Root-DC im Zeitalter der Virtualisierung für durchaus vertretbar, wenn man die Alternativen bedenkt. Aber, wie Mark richtig schrieb, die Umgebungen dürfen sich netzwerktechnisch nie wieder begegnen.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Samstag, 11. März 2017 09:17
  • Vielen Dank für Eure schnellen Antworten. Vielleicht hätte ich das nochmal ein wenig besser ausführen müssen:

    - Es ist quasi eine Trennung vom Hauptunternehmen mit dem PDC. Es gibt keine Möglichkeit den Root DC mitzunehmen.

    - Auf eine neue Kiste umzuziehen ist an sich kein Problem. Es müssten nur alle Nutzer sich mit ihren alten Profilen anmelden können, die GPOs übernommen, nicht jeden Rechner neu in die Domäne heben und Benutzer neu anlegen.

    - Exchange ist keiner vorhanden. Der liegt extern und ist nicht mit dem AD gesynct.


    - Die Umgebung zwischen alten Root-DC und DC werden sich nicht mehr sehen.
    • Bearbeitet cdn_h Samstag, 11. März 2017 11:29
    Samstag, 11. März 2017 11:27
  • - Es ist quasi eine Trennung vom Hauptunternehmen mit dem PDC. Es gibt keine Möglichkeit den Root DC mitzunehmen.

    - Auf eine neue Kiste umzuziehen ist an sich kein Problem. Es müssten nur alle Nutzer sich mit ihren alten Profilen anmelden können, die GPOs übernommen, nicht jeden Rechner neu in die Domäne heben und Benutzer neu anlegen.

    ad 1: Es gibt immer eine Möglichkeit, eine Kopie des Root-DC mitzunehmen. Da hast Du zwei Varianten:

    1. Root-DC ist virtuell. Dann klonst Du ihn einfach, fährst den Klon ohne Netzwerk hoch und entfernst in Abstimmung mit dem "Mutterschiff" alle Objekte, die Du zukünftig nicht brauchst. Dann nimmst Du die Subdomain physisch mit, und der Admin in der Root-Domain muss die Domäne und die DCs per Metadata Cleanup bereinigen, sobald die Netzwerkverbindung getrennt ist.
    2. Root-DC ist physisch oder man kann ihn aus anderen Gründen nicht klonen. Dann installierst Du schnell eine VM, promotest sie zum zweiten Root-DC und, wenn die Synchronisation abgeschlossen ist, bereinigst Du per Metadata Cleanup jeweils den "falschen" Root-DC - in der Mutterschiff-Umgebung den neuen, in der ausscheidenden Umgebung den alten.

    ad 2: Du kannst, wenn kein Exchange im Spiel ist, per ADMT Maschinen und User zu einem Großteil migrieren - nur wird sich der Name der Domäne zwingend ändern müssen. Wenn Du sowas noch nie gemacht hast, musst Du es aber vorher im Labor spielen, sonst geht das schief.

    EDIT: Und wenn es wichtig ist, den UPN zu erhalten, kannst Du ihn nach der Trennung wieder auf die ursprünglichen Werte zurückdrehen.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Samstag, 11. März 2017 12:29
  • Danke für die Hilfe! Also wenn ich das richtig verstehe, müsste ich folgendes Vorgehen machen. Server ist physisch:

    - Ich installiere einen weiteren Windows Server 2012 als PDC, quasi als neues Mutterschiff und verknüpfe den derzeitigen DC der Subdomain diesem.

    - Anschließend bereinige ich das alte Mutterschiff mit der Hauptdomain mit Metadata Cleanup um die entsprechende Sudomain.

    - In der neuen Umgebung muss ich dann was bereinigen?

    - Komm ich am Ende denn dann mit einem Server als DC aus oder muss ich den DC mit der Subdomain auch noch laufen lassen?

    Danke für die Antwort

    Samstag, 11. März 2017 14:28
  • Am 11.03.2017 um 15:28 schrieb cdn_h:
    > - Komm ich am Ende denn dann mit einem Server als DC aus oder muss ich
    > den DC mit der Subdomain auch noch laufen lassen?
     
    Versuchs doch mal mit einer Domäne ohne DC ... ;-)
     
    Noch mal in simpel, Trennung:
    a) Backup/Restore oder Clone/Snapshot von Root mitnehmen
    b) Backup/Restore oder Clone/Snapshot von Sub mitnehmen
     
    Alternativ, Trennung:
    a) neuer DC in Root installieren
    b) neuer DC in Sub installieren
    .... größerer Aufräumprozess, da /zusätzliche/ DCs reinkommen, die auch
    wieder entfernt werden müssen.
     
    Alternativ, Trennung:
    a) neuer DC in Root installieren
    b) Backup/Restore oder Clone/Snapshot von Sub mitnehmen
    ... einmal weniger DC installieren.
     
    Jetzt hast du 2 Welten in denen alles so ist, wie es war. ab JETZT
    dürfen die sich nicht mehr sehen, denn ab jetzt ändern sie sich.
     
    Aufräumen in alter Welt:
    - Sudomain entfernen, dcpromo demote etc, Buzzword metadata Cleanup,
     
    Aufräumen in neuer Welt:
    - nicht mehr vorhandene DCs entfernen, metadata Cleanup etc.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 11. März 2017 14:41
  • Versuchs doch mal mit einer Domäne ohne DC ... ;-)
     
    Noch mal in simpel, Trennung:
    a) Backup/Restore oder Clone/Snapshot von Root mitnehmen
    b) Backup/Restore oder Clone/Snapshot von Sub mitnehmen
     

    Also ich habe gelesen, dass man den Root DC nicht klonen sollte, das würde wohl nur zu Problemen führen.

    Davon abgesehen, bekommen wir leider aus Datenschutzrechtlichen Gründen kein Backup vom Root.

    Deine Alternativlösungen unterscheiden sich jetzt aber vom Vorschlag von Evgenij Smirnov oder? Sorry es hat hier noch nicht ganz klick gemacht. Die Alternativlösung wäre hier ebenfalls interessant. Was sagt ihr denn dazu, ist es viel mehr Aufwand mit ADMT die entsprechenden GPOs, Nutzer und Computer zu migieren?

    VG

    cdn



    • Bearbeitet cdn_h Samstag, 11. März 2017 16:03 Ergänzung
    Samstag, 11. März 2017 16:01
  • Am 11.03.2017 um 17:01 schrieb cdn_h:
    > Also ich habe gelesen, dass man den Root DC nicht klonen sollte, das
    > würde wohl nur zu Problemen führen.
     
    Du hast verstanden, was wir gerade machen?
     
    Die Trennung geht nur, weil wir das Ding CLONEN. De facto trennen wir
    nichts. Wir "spalten" es, ohne das eine der beiden Hälften etwas davon
    weiss.
     
    Du hast zum Zeitpunkt der Trennung 2 100% identische ADs. Der
    Unterschied ist, wir tun für jedes AD so, als ob die sich nie getrennt
    haben und leben ab der Trennung unterschiedliche Leben. Weil wir das
    tun, dürfen die sich NIE wieder begegnen.
    Die beiden ADs, wissen nichts von der Trennung, deswegen müssen wir
    weiterhin so tun, als alles so wäre wie vorher.
     
    > Davon abgesehen, bekommen wir leider aus Datenschutzrechtlichen Gründen
    > kein Backup vom Root.
     
    Gut. Dann ist die Lösung ja einfach. Du fängst bei Null an und nimmst
    mit ADMT den Inhalt der Sub mit, inkl. aller umbauten die die SID betreffen.
     
    > Deine Alternativlösungen unterscheiden sich jetzt aber vom Vorschlag
    > von Evgenij Smirnov
     
    Nö. Wir separieren das AD indem wir eine Zellteilung machen. Genetisch
    identische Nachfahren, durch Fortpflanzung mit Ablegern.
     
    Nenne es: Kopie, zusätzlichen DC mit sync, Backup/restore eines
    vorhandenen, P2V eines Blechs, Snapshot, copy der vmdk, Clone whatever.
    Egal.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 11. März 2017 19:39
  • Am 11.03.2017 um 20:39 schrieb Mark Heitbrink [MVP]:
    > Nenne es: Kopie, zusätzlichen DC mit sync, Backup/restore eines
    > vorhandenen, P2V eines Blechs, Snapshot, copy der vmdk, Clone whatever.
     
    Der Unterschied in den Namen und Techniken liegt im Arbeitsaufwand für
    die Erstellung und dem Aufwand für die anschliessenden Aufräumprozesse.
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 11. März 2017 20:17
  • Alles klar, ich danke Euch für die Hilfe. Dann werde ich wohl nicht an einem kompletten Neuaufbau vorbei kommen. Werde ich mich mal in ADMT Einlesen. Wird ja kein Hexenwerk sein..
    Sonntag, 12. März 2017 14:45
  • Am 11.03.2017 um 13:29 schrieb Evgenij Smirnov:

    - Es ist quasi eine Trennung vom Hauptunternehmen mit dem PDC. Es gibt keine Möglichkeit den Root DC mitzunehmen.

    Technisch vielleicht. Aber bei der Trennung vom Hauptunternehmen würde jeder vernünftige Admin so eine Forderung sinnvollerweise ablehnen! Ehrlich gesagt, würde ich so eine Frage nicht mal stellen, da dann ja auch meine neue Zielumgebung "kompromitiert" wäre, von Anfang an.

    Bye
    Norbert

    Sonntag, 12. März 2017 23:38
  • Am 11.03.2017 um 20:39 schrieb Mark Heitbrink [MVP]:

    Du hast verstanden, was wir gerade machen?

    Ja, und ich halte das für keine sinnvolle Option. Und jemandem der so eine Frage wie der TO stellt, würde ich den Ratschlag schon dreimal nicht geben. :|

    Bye
    Norbert

    Sonntag, 12. März 2017 23:39
  • Am 12.03.2017 um 15:45 schrieb cdn_h:

    Alles klar, ich danke Euch für die Hilfe. Dann werde ich wohl nicht an einem kompletten Neuaufbau vorbei kommen. Werde ich mich mal in ADMT Einlesen. Wird ja kein Hexenwerk sein..

    Und das nächste Mal kannst du auch gern auf deine Anfragen in anderen Foren hinweisen:
    http://www.mcseboard.de/topic/209907-unterdomäne-lösen-und-selbständig-machen/

    Bye
    Norbert

    Sonntag, 12. März 2017 23:40
  • Am 13.03.2017 um 00:39 schrieb Norbert Fehlauer [MVP]:
    > Ja, und ich halte das für keine sinnvolle Option. [...]
     
    hm ... ich sehe es ja eher etwas pragmatisch: Ich gebe ihnen nichts, was
    nicht jetzt schon haben ... Die Frage ist, ob sie die Information haben
    dürfen nach der Trennung. Aber ich würde es nicht generell ablehnen.
     
    Aus dem eigenen Kundenkreis kenne ich eine Firma, an der mittlerweile am
    Schreibtisch gegenüber 2 unterschiedliche Firmen sitzen und im Raum
    nebenan die 3te. Derselbe Chef, dieselben Daten und Ressourcen, nur aus
    welchen Gründen auch immer getrennte Firmen.
     
    Aber egal, er darf ja nicht :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Montag, 13. März 2017 09:38
  • Am 13.03.2017 um 10:38 schrieb Mark Heitbrink [MVP]:


    Am 13.03.2017 um 00:39 schrieb Norbert Fehlauer [MVP]:

    Ja, und ich halte das für keine sinnvolle Option. [...]

    hm ... ich sehe es ja eher etwas pragmatisch: Ich gebe ihnen nichts, was
    nicht jetzt schon haben ... Die Frage ist, ob sie die Information haben
    dürfen nach der Trennung. Aber ich würde es nicht generell ablehnen.

    Eben, und wenn es jetzt nicht um die Handwerkerbude geht, dann dürfen sie es eben nicht haben. Das Risiko wäre mir einfach zu hoch, als dass ich sowas guten Gewissens empfehlen würde.

    Aus dem eigenen Kundenkreis kenne ich eine Firma, an der mittlerweile am
    Schreibtisch gegenüber 2 unterschiedliche Firmen sitzen und im Raum
    nebenan die 3te. Derselbe Chef, dieselben Daten und Ressourcen, nur aus
    welchen Gründen auch immer getrennte Firmen.

    Das sind dann aber keine Firmentrennungen, sondern wahrscheinlich rein steuerrechtliche Vorgaben. ;)

    Aber egal, er darf ja nicht :-)

    Zum Glück. :p

    Bye
    Norbert

    Montag, 13. März 2017 09:53