none
¿Migrar un dominio o partir de 0? RRS feed

  • Pregunta

  • Hola

    Tenemos un marrón curioso entre manos, y es que nuestra empresa a absorbido a otra del sector en otro edificio cercano.

    El caso es que se quieren unir la macrolan que está ya compartida para que sean visibles, y el siguiente paso es cambiar el nombre al dominio para que sea el mismo en todos

    Digamos que en una empresa hay unos departamentos y en otras otros distintos asi que la idea es crear un dominio general y que todo el mundo cuelgue de él así como sus sedes

    La primera solución es montar un Windows 2008 R2 desde 0 con nombre nuevo e ir o bien creando desde el principio OUs y usuarios o bien de alguna manera migrarlos desde los dominios antiguos. La pregunta es:

    - Se pueden migrar OUs con políticas y permisos para que conserven sus rutas de acceso?
    - Que nivel funcional tienen que tener los otros dominios para poder hacer esto?
    - De que forma planificaríais este "movimiento"?

    Gracias
    jueves, 24 de septiembre de 2009 8:18

Respuestas

  • Lo primero de todo crearia un dominio nuevo y crearia con el otro una relacion de confianza transitiva.
    Posteriormente puedes migrar users y passwords a la nueva jerarquia creada usando el ADMT.
    Como ultimo migraria las maquinas al nuevo dominio.

    Haciendolo de esta forma puedes ir migrando poco a poco sin perdida de servicio y sin que practicamente se enteren los usuarios.
    bep
    jueves, 24 de septiembre de 2009 14:56

Todas las respuestas

  • Lo primero de todo crearia un dominio nuevo y crearia con el otro una relacion de confianza transitiva.
    Posteriormente puedes migrar users y passwords a la nueva jerarquia creada usando el ADMT.
    Como ultimo migraria las maquinas al nuevo dominio.

    Haciendolo de esta forma puedes ir migrando poco a poco sin perdida de servicio y sin que practicamente se enteren los usuarios.
    bep
    jueves, 24 de septiembre de 2009 14:56
  • algo así tenía en mente, neuvo de cero e ir migrando departamentos, por ejemplo de mi empresa que es la que mantiene la extructura intacta

    Si migro con ADMT, tengo que volver a crear perfil porque se cambie el nombre canónico de los usuarios y lo tome como otro nuevo?
    viernes, 25 de septiembre de 2009 7:48
  • Para eso utiliza moveuser.exe

    Es una utilidad del resource kit de 2003. Lo renombra o lo copia

    Un saludo.
    bep
    • Propuesto como respuesta Alfredo.Gonzalez viernes, 25 de septiembre de 2009 8:40
    viernes, 25 de septiembre de 2009 8:40
  • y esta utilidad para que sirve exactamente?

    Es que queremos hacer esto lo menos traumáticamente posible, es decir que los usuarios se loguen cambiando de dominio pero que no pierdan su perfil (porque no se si se logaran y se creará otro perfil nuevo

    Osea ahora lo que voy a hacer:

    - Instalo Windows 2008
    - Creacion de dominio en un bosque nuevo
    - establecer relaciones de confianza
    - Migrar DNS (con abrir y conectar creo que es suficiente)
    - Utilizar ADMT para migrar usuarios y más tarde máquinas


    ¿Con ADMT a parte puedo migrar politicas de grupo?
    lunes, 28 de septiembre de 2009 22:41
  • Sirve para migrar los perfiles de users locales a dominio y de dominio a dominio. Para clientes vista usa:

    http://support.microsoft.com/kb/930955/es

    Para migrar politicas GPO puedes usar la misma consola de gestion de las GPO. Te permite exportarlas a un fichero y posteriormente con ese fichero puedes importarlas al nuevo dominio.

    Un saludo.
    bep
    • Propuesto como respuesta Alfredo.Gonzalez martes, 29 de septiembre de 2009 7:29
    martes, 29 de septiembre de 2009 7:28
  • Ok

    He realizado las relaciones de confianza a nivel externa, bidireccionales pero no me puedo validar contra el dominio existente porque dice que tengo que resetear el password... el problema es que hay relaciones con otros dominios y no se si al reseteear el supueto password tambien lo reseteo a otoros dominos relacionados

    Por otra parte no puedo establecer relaciones a nivel de forest porque dice que no tiene el nivel funcional de bosque adecuado... el dominio principal es 2003 auque creo que está en modo mixto y el nuevo de 2008 está a nivel funcional 2003
    martes, 29 de septiembre de 2009 10:02
  • Hola

    Bueno e estado mirando ADMT, pero tengo un problema y es que este no me migra la "estructura" es decir, puedo migrar grupos y equipos pero no unidades organizativas

    El problema es que estas OU tiene asociada políticas y hay ya una estructura más o menos definida... ¿Como puedo migrar también OUs?
    lunes, 5 de octubre de 2009 11:43
  • Yo a no se que tengas una estructura complicadisima lo haria a mano. Tanto la recreación de OU´s como las modificaciones pertinentes. Así estás mas seguro de que todo funciona bien que andar dependiedo de una aplicación que te migre el LDAP.
    bep
    martes, 6 de octubre de 2009 8:20
  • Hola

    Probablemente lo que migre sea las OUs, los usuarios y grupos, los permisos de carpetas y politicas las migraré a mano
    martes, 6 de octubre de 2009 15:21
  • Hola

    Estoy en el paso de instalación de PES pero me pide una clave de tipo *.pes que probablemente tenga que crear o descargar, ¿como es esto?
    miércoles, 7 de octubre de 2009 8:14
  • Mira esta web. Viene todo muy bien explicado:

    http://www.bujarra.com/ProcedimientoADMTyPWDMIG.html

    Un saludo.
    bep
    miércoles, 7 de octubre de 2009 8:47
  • Mira esta web. Viene todo muy bien explicado:

    http://www.bujarra.com/ProcedimientoADMTyPWDMIG.html

    Un saludo.
    bep
    Gracias

    Ahora estoy desactivando el filtro SID pero no me reconoce el comanndo este:


    netdom trust <dominio_origen > /domain:<dominio_destino > /userd:<administrador_origen > /passwordd:<contraseña_administrador_origen > /quarantine:no

    dice que netdom no es un comando válido
    miércoles, 7 de octubre de 2009 9:31
  • Netdom esta incluido en las support tools de win. Instala las support tools que viene en el disco de instalacion de windows. Si desde la raiz de la linea de comandos no te funciona, copia netdom.exe tras la instalacion en la carpeta C:\windows\system32

    Un saludo.
    bep
    miércoles, 7 de octubre de 2009 10:15
  • Ok, ya me funciona, me había despistado con el admin tools

    ahora el problema es que me da acceso denegado, no entiendo el porqué porque los usuarios que uso son administradores

    C:\Documents and Settings\Administrador>netdom trust prueba2 /domain:prueba /userd:prueba2\Administrator /passwordd:password /quarantine:no
    Acceso denegado.

    The command failed to complete successfully.

    Creo que la sintaxis es correcta

    miércoles, 7 de octubre de 2009 14:30
  • ¿Tienes permisos en el dominio origen con el user que estas usando? También chequea que ese usuario sea Enterprise Admin.

    Un saludo 
    bep
    miércoles, 7 de octubre de 2009 14:55
  • Hola

    El comando lo estoy ejecutando en el servidor origen, y ese usuario pertenece a Administradores. El grupo enterprise admin no lo tengo puesto que es un Windows 2003 Standard. la cosa es más o menos así:

    Servidor origen: prueba2.test --> W2003Standard
    Servidor destino: prueba.test --> W2008Standard
    miércoles, 7 de octubre de 2009 15:24
  • Alomejor pregunto una tonteria pero en esta parte del comando " /passwordd:password " ¿Despues de los dos puntos estas poniendo la contraseña del admin? ¿O simplemente estas poniendo password tal cual?

    Un saludo.
    bep
    jueves, 8 de octubre de 2009 15:48
  • Alomejor pregunto una tonteria pero en esta parte del comando " /passwordd:password " ¿Despues de los dos puntos estas poniendo la contraseña del admin? ¿O simplemente estas poniendo password tal cual?

    Un saludo.
    bep

    Hola hombre... pongo eso para no poner mi contraseña :). Lo curioso es que este comando no me ha funcionado en el origen, si no lanzandolo desde el destino...
    viernes, 9 de octubre de 2009 9:57
  • jajajaja No subestimes la afición de la gente por el copy/paste. ¿Entonces en que punto estás ahora?
    bep
    viernes, 9 de octubre de 2009 11:50
  • jajajaja No subestimes la afición de la gente por el copy/paste. ¿Entonces en que punto estás ahora?
    bep
    Buenas, es que estaba de vacaciones así que había aparcado el tema. Te cuento

    Cogimos el dominio origen de 2003 y lancé el migration tools para migrar a 2008, pero este me da errores que paso a pegar.


    [Sección de migración de objetos]
    2009-10-09 13:30:26 Iniciar Replicador de cuentas.
    2009-10-09 13:30:27 ERR2:7816 No se puede determinar si el objeto de origen 'LDAP://curso-zvdqgtzlh.prueba2.test/CN=sanitas1,OU=Usuarios,OU=Sanitas,DC=prueba2,DC=test' coincide con un objeto en el bosque o dominio de destino.  Controlador no válido.
    2009-10-09 13:30:27 ERR2:7301 Error al migrar el objeto de origen 'CN=sanitas1' en el dominio 'prueba.test'. No se ha podido crear el objeto de destino hr=0x80070006  Controlador no válido.
    2009-10-09 13:30:27 ERR2:7816 No se puede determinar si el objeto de origen 'LDAP://curso-zvdqgtzlh.prueba2.test/CN=sanitas2,OU=Usuarios,OU=Sanitas,DC=prueba2,DC=test' coincide con un objeto en el bosque o dominio de destino.  Controlador no válido.
    2009-10-09 13:30:27 ERR2:7301 Error al migrar el objeto de origen 'CN=sanitas2' en el dominio 'prueba.test'. No se ha podido crear el objeto de destino hr=0x80070006  Controlador no válido.
    2009-10-09 13:30:27 ERR2:7816 No se puede determinar si el objeto de origen 'LDAP://prueba2.test/CN=SANITAS,CN=Users,DC=prueba2,DC=test' coincide con un objeto en el bosque o dominio de destino.  Controlador no válido.
    2009-10-09 13:30:27 ERR2:7301 Error al migrar el objeto de origen 'CN=SANITAS' en el dominio 'prueba.test'. No se ha podido crear el objeto de destino hr=0x80070006  Controlador no válido.
    2009-10-09 13:30:28 Operación completada.
    jueves, 22 de octubre de 2009 7:41
  • alguna solución a esto?
    martes, 27 de octubre de 2009 0:18
  • Lo primero de todo crearia un dominio nuevo y crearia con el otro una relacion de confianza transitiva.
    Posteriormente puedes migrar users y passwords a la nueva jerarquia creada usando el ADMT.
    Como ultimo migraria las maquinas al nuevo dominio.

    Haciendolo de esta forma puedes ir migrando poco a poco sin perdida de servicio y sin que practicamente se enteren los usuarios.
    bep


  • Marcado como respuestaAtilla ArrudaModeradorjueves, 15 de octubre de 2009 18:18
  •  


    Es inmoral el que un moderador se vote a si mismo como respuesta util, o bien "juzgue" y vote a otra persona que ha respondido en el hilo, y mucho más si esa otra persona fuese un MVP un otro moderador.

    La unica persona que puede decir si una respuesta le ha sido Util o no, es el autor del hilo, por lo que las acciones anteriores suenan a "pucherazo" en caso de votar a un compañero de cuitas con Microsoft, o bien suenan a protagonismo mal entendido en caso de votar a otro usuario.

    ¿con que criterio se puede considerar una respuesta correcta o util como no sea aquella que solucione el problema y que ademñas el usuario que lo ha puesto, quiera dar su voto de uitlidad?.

    Es importante lo del criterio, porque en general y salvo honrosas contadas ocasiones de algun MVP, las respuestas dejan mucho que desear: muchos buenos modos -son educadas, eso si- pero su contenido indica que aparte de "corta y pega", no se sabe o no se domina sobre lo que se está respondiendo. El conocimiento por parte los moderadores es infimo y baja la calidad de las respuestas. Por favor, limitaros a hacer la funcion que se os ha asignado: la de barrenderos de mensajes que ofendan al foro y la de recolocacion de mensajes en los foros correspondientes en el caso dem oderadores. En el caso de MVP's que se votan entre sí, hay que recordar que lo importante no es sacar o tener "puntos"... sino ayudar al usuario a resolver un problema. Recordad que el espiritu de los MVP's (al menos el original) era el altruismo.


    Untitled 1

    Jose Manuel Tella Llop news://jmtella.com

    martes, 27 de octubre de 2009 4:53
  • ¿¿Perdon??
    martes, 27 de octubre de 2009 12:19
  • Seguimos atascados con ese log :s
    lunes, 2 de noviembre de 2009 8:46