AD Migration 2008R2...
 
Notifications
Clear all

AD Migration 2008R2 zu 2016 mit neuem Domain-Namen

7 Posts
2 Users
0 Reactions
1,211 Views
(@mikki)
New Member
Joined: 3 years ago
Posts: 3
Topic starter  

Hallo Gemeinde,

hallo Frank!

 

Ich stehe vor der Aufgabe, das bestehende AD eines mittelständischen Unternehmens umzubauen bzw. neu aufzubauen.

Dies ist die Ausgangssituation:

- 1. AD-DomainController Server 2008 R2 Standard, Hostname: dc01 (alle FSME-Rollen, Function-Level: 2008 R2)

- 2. AD-DomainController Server 2012 R2 Standard, Hostname: dc02

- aktueller Domänenname (sinngemäß): city.company.com / NetBIOS-Name: company

- ca. 40 User, 10 tech. Accounts (Backup etc.), viele Gruppen und OUs

- einige wenige GPOs

- RD-Sitzungshost Server 2012 R2 für 16 User (nutzen eigens entwickelte Applikation), WebAccess, Lizenzserver, Collection

- VPN-/RAS Server 2012 R2 für 6 User

- WSUS Server 2012 R2 für ca. 25x W10 Clients und 8x Server

- alles virtualisiert und auf mehrere ESXi verteilt

 

Das ist das geplante Ziel:

- 1. & 2. DomainController Server 2016 Standard, Hostname: ads01 & ads02

- neuer Domänenname: hq.company.com

 

Meine Fragen sind nun folgende:

- was ist die schlaueste Vorgehensweise, um die Domaincontroller zu ersetzen und die Daten (OUs, Gruppen, User, etc) wieder nutzen zu können?

- muss der Terminalserver neu gebaut werden oder kann er per unjoin/join in die neue Domain, danach Profile umziehen?

- muss der VPN-Server neu gebaut werden oder kann er per unjoin/join in die neue Domain?

 

Ein Zeitfenster kann ich planen, es gibt sicher vieles, was vorbereitet werden kann oder muss. Ein komplettes Wochenende mit 2 Mann sollte reichen, schätze ich.

Was sind Eure Erfahrungen, was sollte ich noch bedenken?

 

Vielen Dank an alle für die Unterstützung!

LG

Mikki

 


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @mikki

- neuer Domänenname: hq.company.com

Gibts dafür "sinnvolle" Gründe? Ich würde mir das ersparen. Allerdings bin ich Dienstleister, so dass ich es zumindest bezahlt bekäme, würde ich den Kunden bearbeiten. ;)

Veröffentlicht von: @mikki

- was ist die schlaueste Vorgehensweise, um die Domaincontroller zu ersetzen und die Daten (OUs, Gruppen, User, etc) wieder nutzen zu können?

 

Wenn du alles neu machen willst, wirds halt meist ziemlich rumpelig oder aufwändig und/oder teuer. Wenn der Domain Name gleich bleibt ist das am Ende relativ entspannt.

Veröffentlicht von: @mikki

Ein komplettes Wochenende mit 2 Mann sollte reichen, schätze ich.

Wie groß ist die Umgebung? Wer will sowas an einem Wochenende machen? Wie oft hast du solche Umstellungen schon durchgeführt? Ich finds immer interessant, wenn ich Dienstleister was von Wochenende reden höre. Ich versuche das wann immer zu vermeiden. 1. Hat man am Wochenende meist keinen Joker den man anrufen kann 2. ist so ein Wochenende auch mal zu ende und dann steht man da. 3. Kann man mit vernünftiger Planung so gut wie immer ohne Wochenendarbeit auskommen und dem Kunden trotzdem ein vernünftiges Ergebnis präsentieren.

Veröffentlicht von: @mikki

- muss der Terminalserver neu gebaut werden oder kann er per unjoin/join in die neue Domain, danach Profile umziehen?

 

Die Profile wirst du ja nicht "umziehen" sondern migrieren müssen. Das kommt dann halt darauf an, wie der Berater so zu sagen pflegt.

Veröffentlicht von: @mikki

- muss der VPN-Server neu gebaut werden oder kann er per unjoin/join in die neue Domain?

 

Ich würde ihn abschalten und gegen eine VPN appliance ersetzen. ;) Ansonsten ja kann man umziehen. Aber nochmal: Ich persönlich würde wann immer möglich auf die Umbenennung eines AD verzichten. Es gibt so gut wie nie technische Gründe dafür. :)

 

Bye

Norbert

 


   
ReplyQuote

(@mikki)
New Member
Joined: 3 years ago
Posts: 3
Topic starter  
Veröffentlicht von: @norbertfe
Veröffentlicht von: @mikki

- neuer Domänenname: hq.company.com

Gibts dafür "sinnvolle" Gründe? Ich würde mir das ersparen. Allerdings bin ich Dienstleister, so dass ich es zumindest bezahlt bekäme, würde ich den Kunden bearbeiten. ;)

Die gibt es. Der Vorgänger hat die jetzige Domäne nach dem damaligen Standort und dem Firmennamen benannt, mit der Info der GeFü, dass das Unternehmen niemals umziehen wird. Das Unternehmen ist nach 14 Jahren umgezogen, der Name der Stadt muss nun aus dem Domainnamen verschwinden. An dem gewünschten Ziel-Namen der neuen Domain kann ich nichts ändern, das ist leider so.

 

Veröffentlicht von: @mikki

- was ist die schlaueste Vorgehensweise, um die Domaincontroller zu ersetzen und die Daten (OUs, Gruppen, User, etc) wieder nutzen zu können?

 

Wenn du alles neu machen willst, wirds halt meist ziemlich rumpelig oder aufwändig und/oder teuer. Wenn der Domain Name gleich bleibt ist das am Ende relativ entspannt.

Ich habe die Frage falsch gestellt. Sollte man einen neuen DC bauen, per Vertrauensstellung die Daten umziehen oder auf einem neuen DC manuell alles neu einpflegen/anlegen und somit gleich etwaige Leichen eliminieren? Wie würdest DU vorgehen?

 

Veröffentlicht von: @mikki

Ein komplettes Wochenende mit 2 Mann sollte reichen, schätze ich.

Wie groß ist die Umgebung? Wer will sowas an einem Wochenende machen? Wie oft hast du solche Umstellungen schon durchgeführt? Ich finds immer interessant, wenn ich Dienstleister was von Wochenende reden höre. Ich versuche das wann immer zu vermeiden. 1. Hat man am Wochenende meist keinen Joker den man anrufen kann 2. ist so ein Wochenende auch mal zu ende und dann steht man da. 3. Kann man mit vernünftiger Planung so gut wie immer ohne Wochenendarbeit auskommen und dem Kunden trotzdem ein vernünftiges Ergebnis präsentieren.

Ich habe zumindest mehrere Exchange-Migrationen durchgeführt, und zwar ausschliesslich an Wochenenden, da in diesem Zeitraum die wenigsten Leute auf ihre Postfächer/Kalender etc. zugreifen. Daher kam die Idee, es diesmal ähnlich zu gestalten, da an Wochentagen die mobilen Mitarbeiter nahezu den ganzen Arbeitstag per VPN verbunden sind und auch die Applikation auf dem Terminalserver nutzen.

 

Veröffentlicht von: @mikki

- muss der Terminalserver neu gebaut werden oder kann er per unjoin/join in die neue Domain, danach Profile umziehen?

 

Die Profile wirst du ja nicht "umziehen" sondern migrieren müssen. Das kommt dann halt darauf an, wie der Berater so zu sagen pflegt.

Mit "umziehen" meinte ich natürlich "migrieren", sorry.

 

Veröffentlicht von: @mikki

- muss der VPN-Server neu gebaut werden oder kann er per unjoin/join in die neue Domain?

 

Ich würde ihn abschalten und gegen eine VPN appliance ersetzen. ;) Ansonsten ja kann man umziehen. Aber nochmal: Ich persönlich würde wann immer möglich auf die Umbenennung eines AD verzichten. Es gibt so gut wie nie technische Gründe dafür. :)

Wie gesagt, die Vorgabe ist hier das Verschwinden der Location aus dem bestehenden Domainnamen.

 

 

Bye

Norbert

 

Ich danke Dir für Deine Zeit!

LG

 


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @mikki

der Name der Stadt muss nun aus dem Domainnamen verschwinden.

Warum? wo genau sieht ein "normaler" User den denn?


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @mikki

Wie würdest DU vorgehen?

ICH würde dem Kunden erklären, dass er das nicht bezahlen will, bloß weil ihm dort der Standortname im Domainname stört, den er sowieso so nirgends zu Gesicht bekommt.

Veröffentlicht von: @mikki

Wie gesagt, die Vorgabe ist hier das Verschwinden der Location aus dem bestehenden Domainnamen.

Erfahrungsgemäß würde ich das erstmal anzweifeln. Alternativ würde ich dem Kunden den Preis für beide Varianten vorrechnen inklusive der Vor- UND Nachteile beider Varianten. Wenn dann immer noch der Wunsch besteht, kannst du es als Schmerzensgeld sehen. Technisch gibts wie gesagt keinen Grund. Das Ergebnis ist dann hinterher vermutlich wieder genau so ein Name unter der Annahme, dass die Firma nie wieder umzieht und sich nie wieder jemals irgendwie umbenennen wird. ;)

 

Bye

Norbert

 

PS: Die selbe Diskussion gabs unter etwas anderen Faktoren hier: https://www.mcseboard.de/topic/220205-neue-ad-domain-welchen-namen/?tab=comments#comment-1421004 ;)


   
ReplyQuote
(@mikki)
New Member
Joined: 3 years ago
Posts: 3
Topic starter  
Veröffentlicht von: @norbertfe
Veröffentlicht von: @mikki

Wie würdest DU vorgehen?

ICH würde dem Kunden erklären, dass er das nicht bezahlen will, bloß weil ihm dort der Standortname im Domainname stört, den er sowieso so nirgends zu Gesicht bekommt.

Veröffentlicht von: @mikki

Wie gesagt, die Vorgabe ist hier das Verschwinden der Location aus dem bestehenden Domainnamen.

Erfahrungsgemäß würde ich das erstmal anzweifeln. Alternativ würde ich dem Kunden den Preis für beide Varianten vorrechnen inklusive der Vor- UND Nachteile beider Varianten. Wenn dann immer noch der Wunsch besteht, kannst du es als Schmerzensgeld sehen. Technisch gibts wie gesagt keinen Grund. Das Ergebnis ist dann hinterher vermutlich wieder genau so ein Name unter der Annahme, dass die Firma nie wieder umzieht und sich nie wieder jemals irgendwie umbenennen wird. ;)

 

Bye

Norbert

 

PS: Die selbe Diskussion gabs unter etwas anderen Faktoren hier: https://www.mcseboard.de/topic/220205-neue-ad-domain-welchen-namen/?tab=comments#comment-1421004 ;)

Hi!

Danke für Deine Ausführungen.

Jedoch driften wir ab, wir versuchen gerade, uns um das "Wieso" zu kümmern und nicht um das technische "Wie" und die entsprechenden Erfahrungen, auf die mein ursprünglicher Post gerichtet war.

Was der Kunde oder ein Unternehmen bereit ist zu zahlen oder nicht, was die Gründe sind um einen alten Namen loszuwerden oder wie intelligent oder eben nicht eine solche Aufgabe ist, soll uns nicht kümmern. Ich bin nicht der Berater, der hier zu irgendwas geraten oder von etwas abgeraten hat. Damit sollten wir das "Wieso" aussen vor lassen, ok?

Nun bin ich nicht der Typ, der unvorbereitet, blind und leichtsinnig etwas an wie auch immer gearteter IT ändert oder umbaut - ich sammle Informationen, die ich nicht habe und frage nach Erfahrungen, die  ich ebenfalls nicht habe. Am Ende werde ich selbst einschätzen, ob das alles für mich passt und ich den Schritt wage oder ob ich auf externe Unterstützung setze und etwas lerne. Lernen durch Schmerz geht zwar auch, das würde ich aber gerne vermeiden. Bei Exchange-Migrationen hatte ich schon alles - Schmerzen, Lerneffekte und externe Unterstützung. Und selbst mit einem Externen liessen die Schmerzen nicht immer nach...

Dieses Projekt findet nicht am kommenden Wochenende statt, sondern nach ordentlicher Planung, Vorbereitung und zeitlicher Absprache mit allen Beteiligten "irgendwann", es ist also noch nichteinmal zeitkritisch. Dennoch kommt als eventuelle Downtime vorzugsweise ein oder auch gern mehrere Wochenenden in Frage, aus den o. g. Gründen.

Daher erlaube mir nochmal die Frage, was wäre denn der Deiner Meinung nach beste Weg, um am Ende

- eine Domain mit einem anderen Namen und

- zwei neue Domaincontroller

zu haben?

 

Danke für Deine und Eure Zeit & Geduld!

LG

 

This post was modified 3 years ago by mikki

   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Dann such doch mal die Vorteile der gewünschten Lösung gegenüber den Nachteilen. Dann kann man nochmal drüber reden. Meine Erfahrung (und nach der hattest du ja gefragt) ist, dass die meisten solcher Migrationen unter falschen Annahmen geplant und durchgeführt werden. Das kann und wird am Ende dann natürlich funktionieren. Ob es sinnvoll war gegenüber der eigentlich zu klärenden Frage, warum man nicht einfach in der bestehenden Domain bleibt, wird hinterher nicht mehr geklärt. Denn dann ist’s ja vorbei. Deswegen gab ich aus _meinen_ Erfahrungen zu bedenken, dass man zuerst mal fragen sollte, was und warum der Grund für die neue grüne Wiese ist.

 

der Rest hängt dann eben von der Antwort des Kunden auf eben diese Frage ab.

wenn’s unbedingt grüne Wiese sein soll, dann das übliche:

neue dcs Trust, Migration der Server  und deren Applikationen. Die wird man dann für jeden extra betrachten müssen. Wenn kein exchange da ist, kann’s evtl. Weniger Stress geben, wobei ausgerechnet diese Migrationen in fast jeder Art und Weise mit am besten dokumentiert sind. Berechtigungen auf Dateisysteme, Services usw. kann schon eine Weile dauern. Wenn’s natürlich vollkommen egal ist, weil sowieso jeder alles darf… 

so das war’s erstmal für mich

 

bye

norbert


   
ReplyQuote
Share: