[2003] Domain controller demoten naar file server?

Je kan active directory er wel afhalen, maar als dit de laatste server is van het huidige domein ben je dus al je users kwijt. Niet echt handig dus. Je data zal er gewoon op blijven staan.

En hoe wou je verder domeinauthenticatie gaan regelen ? Wou je er een groot gezellig werkgroupje van gaan maken ?

De opties die je hebt zijn:

- Nieuwe DC inrichten, rollen verplaatsen naar nieuwe machine (inclusief DNS en DHCP dus), en de huidige DC met dcpromo tot een member server demoten.

- Nieuwe fileserver neerzetten, UNC-paden (indien aanwezig aanpassen) en loginscripts etc aanpassen. Kans is echter groot dat het pad naar je server op meerdere plaatsen in applicaties etc, staan, dus ik zou eerder optie 1 aanbevelen; een stuk makkelijker en meer foolproof.

Je huidige DC een dcpromo geven en DNS en DHCP erafhalen is een vrij aparte zet. Consequenties zouden zijn:

- Clients krijgen geen IP-adres (je hebt immers geen DHCP-server meer)
- Als clients al een IP-adres hebben, kunnen ze geen namen resolven (geen DNS server meer)
- Inloggen dient lokaal te gebeuren, want er is geen domain om tegen te authenticeren
- Een groot deel van je NTFS rechten zal verloren gaan, omdat de domeingroepen niet meer bestaan
- Alles wat onder een domeinaccount draait (services, applicaties, etc) zal niet meer werken (geen domein om tegen te authenticeren)

Need I say more .. ?

Wat ik _denk_ dat je wilt doen is het migreren van de huidige users naar de nieuwe infrastructuur die reeds aanwezig is.

Je hebt daarin meerdere keuzes. Of je migreert de users van je eigen domein naar het andere domein. Of je maakt de users van je domein opnieuw aan in het nieuwe domein. Groepen etc vallen hier ook onder, btw. Leg een trust aan tussen deze domeinen, geef op de fileserver de benodigde rechten voor de nieuwe/gemigreerde users/groepen.

Er zal zeker nog wel meer bij gaan spelen, dus denk hier eerst eens rustig over na en overleg met de beheerders van de nieuwe infrastructuur in hoeverre hun omgeving het toelaat om simpelweg een child-domein op te nemen, of een migratie uit te voeren.

PS: DNS verwijderen vernachelt je AD. DHCP verwijderen vernachelt alles voor je clients EN een gedeelte van je AD (DDNS, anyone ?). In alle eerlijkheid, gezien sommige opmerkingen die je hier plaatst, vraag ik me af of jij hier wel verder actie op moet ondernemen, of dat je het niet beter kan overlaten aan iemand die dit soort zaken eerder heeft gedaan. My two cents.

[ Voor 9% gewijzigd door Verwijderd op 01-12-2005 16:45 ]

Mooie reply, maar:

DHCP verwijderen vernachelt alles voor je clients EN een gedeelte van je AD (DDNS, anyone ?).

Euhm... Het vernaggelt automatisch IP voor je clients maar echt helemaal niks aan je AD... Hoogstens dat naamresolutie richting andere clients de soep in loopt, maar dat kun je door standard DNS of WINS afvangen.

Ik zou er als ik jou was gewoon iemand bij halen die er kijk op heeft (netwerk specialist/consultant).

Je kunt namelijk ook een one-way (of two-way) trust opzetten tussen de domeinen.
Dan kun jij bijvoorbeeld lekker printen,internetten,etc via het andere domein en het andere domein kan niks op de andere server. De huidige infrastructuur blijft bestaan (denk rechten op bestanden) en er hoeft weinig veranderd te worden (geen client in een nieuw domein).

start > Run > dcpromo

Ik denk alleen dat je het niet moet gaan doen in een werkomgeving ik zou er eerst maar eens iets over gaan lezen en in een testomgeving starten.

Inderdaad eerst de hele migratie uitdenken en dan pas gaan doen. DCPromo draaien is maar een piepklein onderdeel van je traject.

Je wilt alleen een fileserver over houden, die onderdeel is van de reeds bestaande situatie?

Staat er in de complete infrastructuur al een fileserver? Waarom een fileserver overhouden van het te migreren domein, als je mogelijk (met eventueel een kleine hardware uitbreiding) kan aansluiten op de reeds bestaande fileserver? Scheelt in hardware, onderhoudscontract, licentiekosten...
Data op backup tape en daarna restoren op de fileserver in de complete infrastructuur.

Let op: als jouw backupoplossing het toelaat om te restoren zonder de rechten te behouden moet je hier gebruik van maken. Anders eerst een full backup, daarna rechten zetten op "Everyone Full Control". Hierna een 2e backup maken en deze backup restoren op de fileserver.
Je houdt een server over, waar je vast wel weer leuke dingen mee kan uittesten!

leuk dat er nu technisch wordt gekeken, maar is dat plannetje organisatorisch gezien ook acceptabel?

Je zet dus je eigen organisatie over (inclusief beheer en "zelfstandigheid") naar een andere, is dat ook echt de bedoeling?

Als je 2 domeinen wilt houden, dan kan je niet alle taken van de laatste server halen.
Eerste keuze is daarom of je 2 aparte domeinen wilt houden, of dat je naar 1 domein wilt. Is het overhouden van 1 domein een optie?

Begrijp ik het goed dat er nu 2 domeinen zijn, met totaal 2 domein controllers? Het heeft zo zijn voordelen om (minimaal) 2 domein controllers te hebben...Om hoeveel servers gaat het totaal?

hou er rekening mee als je een domain controller demote dat er altijd "rommel" achterlbijft in je registry met oude naamgeving. Beste manier is om de te bewaren data op tape of dvd or what ever op te slaan en als dit geverifieerd is dat het goed is de server opnieuw te installeren.

Verwijderen DHCP heeft alleen het effect dat de client computers met een dhcp adres na de lease een apipa adres krijgen en niet meer kunnen connecten.
Verwijderen DNS heeft een grotere impact omdat Active Directory veel met DNS werkt.
Verder al je accounts op je domain controller zullen vervallen mits je geen 2e domain controller hebt. Dus bedenk wel de risico's die je gaat lopen als dit de enige DC in dat domain is.

Je krijgt problemen met permissies en dergelijke als je active directory eraf haalt. Je data blijft wel gewoon staan. Daarom zou ik de data eraf halen, op de andere fileserver zetten, daar opnieuw users toevoegen en gaan. Maar dat is nu al een aantal keren gezegt.
Je houdt gewoon een werkgroep over en dat is niet wat je wilt in zo'n situatie lijkt me.

lammmetak schreef op vrijdag 02 december 2005 @ 10:09:
Ik zie dat mensen elke keer het DHCP en DNS verhaal de grootste problemen zijn. De andere domain controller heeft dit allemaal al geregeld. het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory en alle dingen zoals DHCP er veilig af krijg zodat ik mijn data kan behouden.

Ik zie hierboven staan dat je iets met My Documents doet - heb je die geredirect ofzo via GPOs?

lammmetak schreef op vrijdag 02 december 2005 @ 10:09:
Het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory er veilig af krijg zodat ik mijn data kan behouden.

Nou snap ik nog steeds niet waarom je dit wilt doen, maar dat zal wel een kostenbesparings-iets zijn ofzo.

Je hebt het eigenlijk over de technische invulling van een bedrijfsfusie (als ik het eventjes bedrijfsorganisatorisch bekijk).

BackSlash32 schreef op vrijdag 02 december 2005 @ 11:21:
[...]


Nou snap ik nog steeds niet waarom je dit wilt doen, maar dat zal wel een kostenbesparings-iets zijn ofzo.

Je hebt het eigenlijk over de technische invulling van een bedrijfsfusie (als ik het eventjes bedrijfsorganisatorisch bekijk).

Niet noodzakelijk natuurlijk.. kan ook een stukje shared hosting zijn. In dat geval wil je je huidige rechten bewaren en geen rechten uitdelen aan anderen. Dus meer het technische equivalent van onderverhuur.

lammmetak schreef op vrijdag 02 december 2005 @ 15:44:
Onze server onderdeel maken van hun domein is geen oplossing aangezien het een SBServer is

En dus hef je je eigen domain maar op met alle consequenties vandien?
hakkietakkie-oewa routertje + wat printservertjes en je kan die printers op je eigen server gebruiken.

Maar je moet het zelf weten hoor

Ben je nou bezig om te fuseren met "hun" of wat is de bedoeling? Want jij geeft als reden dat je moet printen op een pc butien je eigen domein (wat gewoon kan btw, zonder trust en zonder verder ge-emmer met afbreken van domeinen -> die printer zal een netwerk printer zijn, dus gewoon installeren op je eigen DC en karren met die papiertjes.) terwijl niemand hier de indruk heeft dat je technisch en vooral organisatorisch geneog bij bent om dit te gaan probren: je weet niet eens wat je aan het doen bent zo. Wil je nou
a) beide domeinen moeten één domein worden. de bedrijven zijn samen één en ***ER ZIJN GENOEG SBS CLIENT LICENSES OM JE HELE DOMEIN ER BIJ IN TE PROPPEN*** bij de andere server.
b) jullie zitten toevallig saampies in één pand en je bent te cheap om een eigen printer te kopen. Je wilt dat het andere bedrijf volledige controle krijgt over al jouw privacy gevoelige gegevens en klantinfo. Je hele bedrijf wordt dus op goed geluk bij een ander in het AD geduwd en dan bidden dat daar geen rotstreken worden uitgehaald.
c) je wilt gewoon printen en niet al dat gezeur van die mensen hier.