Planung für AD Takeover

german
ad-takeover

#1

Hallo,

ich bin noch etwas im grübeln wie man am besten einen AD takeover ausführt. In unserem Fall habe ich folgendes Problem:

  • Aktuell läuft auf einem Windows SBS server: AD Master, Exchange und Fileserver (und auch eine CA Authority)
  • In Zukunft möchte ich zu folgendem kommen: UCS Master + Backup server, Exchange auf Windows 2016, “Standard” Debian Fileserver (wahrscheinlich nicht unter UCS da ich diesen lieber als LXC guest laufen werde lasse)

Den Übergang von dem “integrierten” Exchange server zu dem neuen auf einen getrenntem Server kann Ich ohne Probleme schon mal im voraus ausführen.

Nun frage Ich mich wie Ich das mit dem Fileserver hin bekomme:

  • sollte ich ihn im voraus aufsetzen (also einfach ein Samba server ins AD domain integrieren, Dateien rüber, GPO anpassen, Windows clients neustarten, fertig) dann habe ich “lokal” zugewiesene Linux UID/GID, die dann im nachhinein nicht mehr zu denen im UCS LDAP passen.
  • also würde ich am liebsten einen UCS Master aufsetzen. Diesen in die AD domain integrieren, und dann einen Samba server aufsetzen der so konfiguriert ist wie es bei einem UCS server de Fall währe (muss mal testen wie das eigentlich aussieht) und erst danach mit dem existierendem UCS Master (der also schon im AD Domain ist) ein AD Takeover ausführen.

Hat jemand schon mit so einem Fall Erfahrung? Funktioniert ein AD Takeover in diesem Fall? Habe ich mich da in irgend etwas verrannt?

Vielen Dank im voraus,

K0n24d


#2

Ich habe vor 2 Monaten auch ein AD TakeOver gemacht (von Zentyal nach UCS). Ein Punkt, den ich so nicht auf dem Schirm hatte und der mir sehr viel Probleme in der Migrationsnacharbeit machte, war, dass der “alte AD” danach nicht mehr ins Netz kann, weil desen IP auf den “neuen AD” hinzugefügt wird. Also wichtig ist, dass man wirklich vor dem TakeOver die kompletten Daten (Dateien) drüben hat, ansonsten ist das Umkopieren über das Netzwerk nach dem TakeOver nicht mehr möglich (war zumindest bei mir der Fall)

Ansonsten war die Übernahme problemlos. Was ich aber feststellen musste, war das die vermurksten Einstellungen im “alten AD” ja auch übernommen werden und man nachher händische Sucharbeit leisten musste. Also mach ein AD TakeOver nur, wenn deine “alte Domäne” sauber läuft und wenn es sich um komplexe Strukturen handelt.

Im Nachhinein würde ich das abgeschlossene Projekt mit dem heutigem Wissen anders angehen, da das Neuerstellen der Domäne (20 Benutzer - 5 Freigaben - 2 Drucker) wohl schneller gegangen wäre, als das was mir da passiert ist


#3

Leider wird es schwer eine neue AD aufzusetzen (viele remote Benutzer mit Laptops die in die Domäne eingebunden sind usw.).

Dass ich den alten AD master nach dem Takeover vom Netz nehmen muss ist mir schon klar (deshalb auch mein Problem mit dem neuen Fileserver den Ich zuerst aufsetzen müsste).

Also, ist meine wirkliche Frage eigentlich, kann ich einen UCS Master zuerst als AD Mitglied aufsetzen, und später erst mit diesem existierendem UCS Master ein AD Takeover durchführen?

Vielleicht bleibt mir nichts anderes übrig als es einfach mal an einer Kopie auszuprobieren.

EDIT: ich bin definitiv Blind, laut https://www.univention.de/produkte/univention-app-center/app-katalog/adconnector/:

Die Ablösung einer nativen Active Directory-Domäne kann (auch zu einem späteren Zeitpunkt, nachdem die Active Directory-Verbindung hergestellt wurde) durch die Applikation Active Directory Takeover realisiert werden.


#4

Ja das ist möglich. :slight_smile: