Active Directory-Konsolidierungsstrategie nach Fusion / Akquisition

7

Vorab-Haftungsausschluss: Ich bin von Natur aus ein UNIX-Typ. Ich beschäftige mich jedoch seit mindestens einem Jahrzehnt mit Windows-Boxen aus Sicht der Betriebsunterstützung / Leistungsoptimierung.

Mein Unternehmen hat kürzlich ein anderes Unternehmen übernommen, und wir prüfen Strategien zur Konsolidierung von Active Directory zwischen beiden. Wir haben eine Site-to-Site-VPN-Verbindung und eine schnelle Namensauflösung zwischen den beiden Standorten.

Ich würde mich freuen:

  • Ratschläge von allen, die sich in der gleichen Situation befanden.
  • Links zu Artikeln, die sowohl allgemeine Überlegungen als auch technische Details beschreiben.
  • Fallstricke, nie-dos, ich-wünschte-ich-hätte-gewusst, immer-dos-aber-nie-dokumentiert.
active-directory  windows 
user11189
quelle

Antworten:

5

Ich würde vorhaben, eine der Active Directory-Gesamtstrukturen zu deaktivieren und zu verwüsten. Das Verwalten einer Multi-Domain, geschweige denn einer Multi-Gesamtstruktur, Active Directory ist nur ein Problem.

Wenn Sie nicht über eine große Anzahl von Benutzern / Computern oder komplexen Dateisystemberechtigungen in der Gesamtstruktur verfügen, die nicht verwendet werden, würde ich mich nicht einmal mit einem Tool wie dem Active Directory-Migrationstool beschäftigen.

Migrationstools sind in Ordnung, um schnell etwas zu erledigen. Wenn Sie jedoch die Zeit haben, eine Vertrauensbeziehung zwischen den Gesamtstrukturen einzurichten und absichtlich zu verschieben, können Sie allen Dateiberechtigungen, Anwendungen und anderen Diensten, die auf Active Directory basieren, eine echte Top-Funktion geben. Überprüfen und assimilieren Sie das erworbene Unternehmen auf kontrollierte und koordinierte Weise in Ihr Active Directory, anstatt viel Gepäck aus der AD zu holen, das sich in den kommenden Jahren als "Legacy" -Mühlstein um Ihren Hals herausstellen wird .

Ich würde eine Vertrauensbeziehung zwischen den Gesamtstrukturen einrichten, sodass sich Benutzer aus einer Domäne bei Computern in der anderen anmelden können. Dann wird die Domänenmitgliedschaft der Clientcomputer etwas irrelevant. Ich würde eine Reihe von Domänencontrollern für die Zieldomäne im Büro des erworbenen Unternehmens bereitstellen. Sie können diese sogar als VMs auf den vorhandenen Domänencontrollern bereitstellen, ungeachtet der Windows-Lizenzierung.

Ich würde herausfinden, wofür Gruppenrichtlinien in der nicht verwendeten Gesamtstruktur verwendet werden, und Sites und Organisationseinheiten in der Zielgesamtstruktur bereitstellen, um die Computer beim Verschieben unterzubringen. Sie werden wahrscheinlich feststellen, dass sie Gruppenrichtlinien für vieles nicht wirklich verwenden (was deprimierend scheint, dass dies 9 Jahre nach dem Erscheinen von Active Directory und Gruppenrichtlinien immer noch der Fall ist), aber denken Sie auf jeden Fall darüber nach.

Ich würde ein Startskript mit dem Tool "NETDOM" bereitstellen (siehe http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx ), um die Clientcomputer von der nicht verwendeten Gesamtstruktur zu trennen und sie mit der Zielgesamtstruktur zu verbinden. Benutzeranmeldungen funktionieren weiterhin wie immer für die Benutzer der nicht verwendeten Gesamtstruktur.

Ob die Benutzer und Gruppen aus der nicht verwendeten Gesamtstruktur migriert werden sollen oder nicht, hängt von der Anzahl der Benutzer und Gruppen und der Schwierigkeit ab, nur die Benutzer-, Gruppen- und Dateisystem-ACLs in der Zielgesamtstruktur neu zu erstellen.

Sie haben Exchange nicht erwähnt. Wenn Exchange im Spiel ist, müssen Sie sich um die gesamtstrukturübergreifende / organisationsübergreifende Postfachmigration sorgen. Ich werde keinen Kommentar zu diesem Problem abgeben, es sei denn, Sie aktualisieren und sagen, dass Sie Informationen dazu benötigen.

Evan Anderson
quelle
1
Ja, Exchange ist auch für uns ein Problem. Bitte kommentieren Sie und danke bisher.
user11189
1
Über wie viele Benutzer / Postfächer sprechen Sie in der Quellgesamtstruktur?
Evan Anderson
4

Sie haben zwei Möglichkeiten, dies zu tun: 1. Domänenvertrauen (einfach): Erstellt eine Verknüpfung zwischen Ihren beiden Domänen, sodass Sie Benutzern in der Domäne Zugriff auf freigegebene Ressourcen in Domäne B gewähren können und umgekehrt. Sie können auch eine Einweg-Vertrauensstellung erstellen, die nur in eine Richtung funktioniert. 2. Domänenmigration: Verschieben Sie alle Objekte (Benutzer, Computer usw.) von einer Domäne in die andere. ADMT (Active Directory-Migrationstool) ist die Toolbox, die Sie normalerweise hier verwenden. Wenn beide Domänen Exchange Server installiert haben, prüfen Sie auch eine Postfachmigration von einer Exchange-Organisation zur anderen (zwischen Exchange und Active Directory Forests besteht eine Eins-zu-Eins-Beziehung, sodass Sie den Austausch nicht einfach verschieben können zwischen AD-Wäldern).

Wie Sam betont, ist dies einer, in dem Sie noch mehr testen, testen und testen möchten! Die Migration selbst ist nicht so kompliziert, aber jeder Fehler könnte potenziell katastrophal sein.

Trondh
quelle
1

Evan Anderson wird Ihnen die wirklich gute Antwort auf diese Frage geben, aber bis er auftaucht, kann ich Ihnen einige Dinge zur Recherche geben.

Grundsätzlich haben Sie einen Active Directory-Baum. Es ist deine Domain. Ihre neue Firma hat auch eine. Ihr "Baum" ist ihre Domäne. Was Sie tun möchten, ist, beide "Bäume" in den gleichen "Wald" zu legen. Ich bin nicht süß, das sind die eigentlichen Begriffe.

Ich weiß nur technisch genug, um zu wissen, dass ich die Antwort nicht kenne. Google liefert einige gut aussehende Ergebnisse , aber sprechen Sie auf jeden Fall mit jemandem, der es weiß, bevor Sie es tun. Gibt es jemanden in der anderen Firma mit mehr Windows-Erfahrung?

Außerdem würde ich empfehlen, ein AD-Buch für die von Ihnen verwendete Windows Server-Version zu erwerben. Sie sind aufschlussreich, und als Linux-Typ ist es manchmal etwas beunruhigend, ihre Denkweise zu sehen, aber es funktioniert normalerweise. Es ist einfach anders.

Viel Glück!

Matt Simmons
quelle
1
Ich würde auch vorschlagen, eine anständige Testumgebung einzurichten, um diese Dinge auszuprobieren. Sie werden es am besten lernen, aber es ist sehr einfach, AD zu brechen und dann zu brechen!
Sam Cogan
+1 Sam, ich wollte vorschlagen, die VMWare Workstation zu öffnen und eine ähnliche Testumgebung mit einem "VM-Team" einzurichten. Sie können sogar die WAN-Verbindung simulieren ... Snapshot / Rollback ist in dieser Umgebung wirklich sehr einfach.
Tomfanning
1
Ähm ... Sie können keine Bäume zwischen AD-Wäldern beschneiden und pfropfen.
James Risto
Ich war im Urlaub, als dieser veröffentlicht wurde. Verpasste das Boot auf diesem ein bisschen.
Evan Anderson
1
Meine Güte, du darfst nicht Urlaub machen !! Wer wird hier die Lücke schließen?
Matt Simmons
1

In der Regel verwenden Sie ADMT oder Quest, um alle relevanten Objekte (Benutzer, Gruppen, Computer, Server usw.) aus den Domänen eines Unternehmens in die Domäne des anderen zu migrieren.

Dies erfordert einige umfangreiche Planungen und Sie müssen die Server auf Anwendungsbasis betrachten. Einige Dinge sind ziemlich einfach zu verschieben, z. B. Datei- und Druckserver, während andere, z. B. SQL / SharePoint, viel mehr involviert sind.

ADMT und ähnliches können die Arbeit erledigen, alle Maschinen für Sie zu berühren und Prinzipien zu kopieren.

Brian Desmond
quelle
0

Halten Sie die Koexistenz so kurz wie möglich. Das Ausführen beider Domänen führt nur zu Problemen. Wenn ein AD eindeutig besser ist (wobei besser = besseres Verwaltungsmodell, bessere Überwachung usw.) als ein anderes (oder die DCs in einem AD das Ende der Lebensdauer haben), migrieren Sie Benutzer dorthin. Andernfalls richten Sie eine neue Domäne ein und migrieren Sie über einen vordefinierten Zeitraum zu dieser.

duffbeer703
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.