[2003] Domain controller demoten naar file server?

Pagina: 1
Acties:
  • 110 views sinds 30-01-2008
  • Reageer

  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
Beste Tweakers,

inleiding
Recentelijk is het bedrijf waar ik stage loop komt bij een paar andere bedrijven in het zelfde pand. Nu ligt daar al een complete infractructuur. Wij hebben een eigen domain controller met active directory.

de situatie is als volgt:
ons bedrijf heeft een server met eigen DHCP,DNS, Fileserver en Active Directory. Ook hebben we onze mensen verbinding met een tweede server voor de mail. Nu is de mail al geregeld dat dit bij het andere bedrijf wordt ingebracht. Helaas lopen we nog tegen struikelblokken zoals printen via het andere netwerk, internet en ander zaken. Aangezien wij alleen onze server gebruiken voor data willen wij die dus alleen nog maar als Fileserver gebruiken.

Mijn oplossing was om alle andere taken via "Manage your server" te verwijderen. Ik weet dat bijvoorbeeld DNS en DHCP zo kunnen worden verwijderd (op de zelfde manier als hoe je ze via Manager your server kan toevoegen.)

nu komt mijn vraag:
Geld deze verwijder procedure ook voor Active Directory? Moet ik nog ergens rekening mee houden voordat ik dit doe?

verwachte resultaat
onze server die alleen nog maar opslag en onze bestanden aanbied aan het netwerk.
geen:
-DHCP
-DNS
-Active Directory

disclaimer
Ik heb al gezocht en wat mensen gevraagd maar niemand kon me er echt zeker van stellen dat dit niet fout gaat. Ik wil ook niet het risico nemen door dit te proberen.
al vast bedankt voor de reacties.
Ik hoop dat deze topic op de goede plaats staat:)

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • MADG0BLIN
  • Registratie: Juni 2001
  • Laatst online: 20-02 13:22
Je kan active directory er wel afhalen, maar als dit de laatste server is van het huidige domein ben je dus al je users kwijt. Niet echt handig dus. Je data zal er gewoon op blijven staan.

Verwijderd

En hoe wou je verder domeinauthenticatie gaan regelen ? Wou je er een groot gezellig werkgroupje van gaan maken ?

De opties die je hebt zijn:

- Nieuwe DC inrichten, rollen verplaatsen naar nieuwe machine (inclusief DNS en DHCP dus), en de huidige DC met dcpromo tot een member server demoten.

- Nieuwe fileserver neerzetten, UNC-paden (indien aanwezig aanpassen) en loginscripts etc aanpassen. Kans is echter groot dat het pad naar je server op meerdere plaatsen in applicaties etc, staan, dus ik zou eerder optie 1 aanbevelen; een stuk makkelijker en meer foolproof.

Je huidige DC een dcpromo geven en DNS en DHCP erafhalen is een vrij aparte zet. Consequenties zouden zijn:

- Clients krijgen geen IP-adres (je hebt immers geen DHCP-server meer)
- Als clients al een IP-adres hebben, kunnen ze geen namen resolven (geen DNS server meer)
- Inloggen dient lokaal te gebeuren, want er is geen domain om tegen te authenticeren
- Een groot deel van je NTFS rechten zal verloren gaan, omdat de domeingroepen niet meer bestaan
- Alles wat onder een domeinaccount draait (services, applicaties, etc) zal niet meer werken (geen domein om tegen te authenticeren)

Need I say more .. ?

Wat ik _denk_ dat je wilt doen is het migreren van de huidige users naar de nieuwe infrastructuur die reeds aanwezig is.

Je hebt daarin meerdere keuzes. Of je migreert de users van je eigen domein naar het andere domein. Of je maakt de users van je domein opnieuw aan in het nieuwe domein. Groepen etc vallen hier ook onder, btw. Leg een trust aan tussen deze domeinen, geef op de fileserver de benodigde rechten voor de nieuwe/gemigreerde users/groepen.

Er zal zeker nog wel meer bij gaan spelen, dus denk hier eerst eens rustig over na en overleg met de beheerders van de nieuwe infrastructuur in hoeverre hun omgeving het toelaat om simpelweg een child-domein op te nemen, of een migratie uit te voeren.

PS: DNS verwijderen vernachelt je AD. DHCP verwijderen vernachelt alles voor je clients EN een gedeelte van je AD (DDNS, anyone ?). In alle eerlijkheid, gezien sommige opmerkingen die je hier plaatst, vraag ik me af of jij hier wel verder actie op moet ondernemen, of dat je het niet beter kan overlaten aan iemand die dit soort zaken eerder heeft gedaan. My two cents.

[ Voor 9% gewijzigd door Verwijderd op 01-12-2005 16:45 ]


  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25
Mooie reply, maar:
DHCP verwijderen vernachelt alles voor je clients EN een gedeelte van je AD (DDNS, anyone ?).
Euhm... Het vernaggelt automatisch IP voor je clients maar echt helemaal niks aan je AD... Hoogstens dat naamresolutie richting andere clients de soep in loopt, maar dat kun je door standard DNS of WINS afvangen.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.


Verwijderd

Ik zou er als ik jou was gewoon iemand bij halen die er kijk op heeft (netwerk specialist/consultant).

Je kunt namelijk ook een one-way (of two-way) trust opzetten tussen de domeinen.
Dan kun jij bijvoorbeeld lekker printen,internetten,etc via het andere domein en het andere domein kan niks op de andere server. De huidige infrastructuur blijft bestaan (denk rechten op bestanden) en er hoeft weinig veranderd te worden (geen client in een nieuw domein).

  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
nou er is al een domein met users, daar kunnen snel en makkelijk opnieuw worden tegevoegd. Verder is DNS, DHCP en zo allemaal al gergeld. Zoals ik al zij, er is al een werkende situatie. Het gaat vooral om de bestanden die gedeelt staan, de " mijn documenten" worden overgekopierd. Het ging me vooral om hoe je de Active directory stopt en als file server verder laten gaan.

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • Tijntje
  • Registratie: Februari 2000
  • Laatst online: 20-02 15:28

Tijntje

Hello?!

start > Run > dcpromo

Ik denk alleen dat je het niet moet gaan doen in een werkomgeving ik zou er eerst maar eens iets over gaan lezen en in een testomgeving starten.

Als het niet gaat zoals het moet, dan moet het maar zoals het gaat.


  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25
Inderdaad eerst de hele migratie uitdenken en dan pas gaan doen. DCPromo draaien is maar een piepklein onderdeel van je traject.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.


  • Mikkie001
  • Registratie: Oktober 2002
  • Laatst online: 08:39

Mikkie001

Wat is werk zonder koffie?

Je wilt alleen een fileserver over houden, die onderdeel is van de reeds bestaande situatie?

Staat er in de complete infrastructuur al een fileserver? Waarom een fileserver overhouden van het te migreren domein, als je mogelijk (met eventueel een kleine hardware uitbreiding) kan aansluiten op de reeds bestaande fileserver? Scheelt in hardware, onderhoudscontract, licentiekosten...
Data op backup tape en daarna restoren op de fileserver in de complete infrastructuur.

Let op: als jouw backupoplossing het toelaat om te restoren zonder de rechten te behouden moet je hier gebruik van maken. Anders eerst een full backup, daarna rechten zetten op "Everyone Full Control". Hierna een 2e backup maken en deze backup restoren op de fileserver.
Je houdt een server over, waar je vast wel weer leuke dingen mee kan uittesten!

Er is altijd een groepje mensen dat in geen enkel groepje past


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

leuk dat er nu technisch wordt gekeken, maar is dat plannetje organisatorisch gezien ook acceptabel?

Je zet dus je eigen organisatie over (inclusief beheer en "zelfstandigheid") naar een andere, is dat ook echt de bedoeling?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
nou we hebben op de server een hoop data. Deze data willen we iig bewaren. Verder doet de server DNS, DHCP en Active Directory. Als we willen printen , mailen en dergelijke moeten we bij het andere domein. Een forest is een optie maar de de andere domain controller is SBS dus ik denk niet dat je een forrest kunt bouwen. vandaar dus ook demoten. Ik zat te denken om de mail server leeg te maken, die op te zetten als Fileserver en alle data naar die server pompen en die gebruiken als fileserver. Er is dan weer een struikelblok: schijfruimte. maar dat is wel een oplossing. Maar dit is een optie die ik als een van de laatste mogelijkheden wil gebruiken. Is de manier die ik had gevonden( verwijderen van de active directory taak in "manage your server" een oplossing?

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • Mikkie001
  • Registratie: Oktober 2002
  • Laatst online: 08:39

Mikkie001

Wat is werk zonder koffie?

Als je 2 domeinen wilt houden, dan kan je niet alle taken van de laatste server halen.
Eerste keuze is daarom of je 2 aparte domeinen wilt houden, of dat je naar 1 domein wilt. Is het overhouden van 1 domein een optie?

Begrijp ik het goed dat er nu 2 domeinen zijn, met totaal 2 domein controllers? Het heeft zo zijn voordelen om (minimaal) 2 domein controllers te hebben...Om hoeveel servers gaat het totaal?

Er is altijd een groepje mensen dat in geen enkel groepje past


  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
Wij hebben een mail server en een domain controller, met dhcp,dns,active directory en files. hun hebben ongeveer het zelfde. Zij kunnen niet bij ons aangezien hun veel grotere active directory hebben dan wij. Aangezien wij gebruik willen maken van hun mail server en hun printer is het makkelijker om bij hun in het domein te gaan. Nou leek het logisch om dan gewoon 2 domain controllers te hebben maar hun server is een SBS( Small Business Server) dus ik verwacht niet dat ik een forrest kan opzetten. vandaar dat ik dan liever een file server van maak. Is de manier die ik op het eind van mijn vorige post beschreef mogelijk?

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

hou er rekening mee als je een domain controller demote dat er altijd "rommel" achterlbijft in je registry met oude naamgeving. Beste manier is om de te bewaren data op tape of dvd or what ever op te slaan en als dit geverifieerd is dat het goed is de server opnieuw te installeren.

Verwijderen DHCP heeft alleen het effect dat de client computers met een dhcp adres na de lease een apipa adres krijgen en niet meer kunnen connecten.
Verwijderen DNS heeft een grotere impact omdat Active Directory veel met DNS werkt.
Verder al je accounts op je domain controller zullen vervallen mits je geen 2e domain controller hebt. Dus bedenk wel de risico's die je gaat lopen als dit de enige DC in dat domain is.

  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
Ik zie dat mensen elke keer het DHCP en DNS verhaal de grootste problemen zijn. De andere domain controller heeft dit allemaal al geregeld. het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory en alle dingen zoals DHCP er veilig af krijg zodat ik mijn data kan behouden.

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • MADG0BLIN
  • Registratie: Juni 2001
  • Laatst online: 20-02 13:22
Je krijgt problemen met permissies en dergelijke als je active directory eraf haalt. Je data blijft wel gewoon staan. Daarom zou ik de data eraf halen, op de andere fileserver zetten, daar opnieuw users toevoegen en gaan. Maar dat is nu al een aantal keren gezegt. :Y)
Je houdt gewoon een werkgroep over en dat is niet wat je wilt in zo'n situatie lijkt me.

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

lammmetak schreef op vrijdag 02 december 2005 @ 10:09:
Ik zie dat mensen elke keer het DHCP en DNS verhaal de grootste problemen zijn. De andere domain controller heeft dit allemaal al geregeld. het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory en alle dingen zoals DHCP er veilig af krijg zodat ik mijn data kan behouden.
Ik zie hierboven staan dat je iets met My Documents doet - heb je die geredirect ofzo via GPOs? :)

Verwijderd

buddhole schreef op donderdag 01 december 2005 @ 19:09:
Mooie reply, maar:


[...]


Euhm... Het vernaggelt automatisch IP voor je clients maar echt helemaal niks aan je AD... Hoogstens dat naamresolutie richting andere clients de soep in loopt, maar dat kun je door standard DNS of WINS afvangen.
Gezien de context van de vraag schaarde ik in deze post naamsresolutie richting andere clients ook onder 'AD'. Achteraf gezien wat te kort door de bocht inderdaad. ;)

De te snelle gedachte dat DHCP invloed heeft op de servers en DNS-recordregistratie schoot namelijk door mijn hoofd. Iets wat deels wel klopt, want hiervoor wordt de DHCP client service gebruikt.. echter, dat linkt niet naar een DHCP server, dus dat klopt weer niet. ;)

[ Voor 22% gewijzigd door Verwijderd op 02-12-2005 11:03 ]


Verwijderd

lammmetak schreef op vrijdag 02 december 2005 @ 10:09:
Ik zie dat mensen elke keer het DHCP en DNS verhaal de grootste problemen zijn. De andere domain controller heeft dit allemaal al geregeld. het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory en alle dingen zoals DHCP er veilig af krijg zodat ik mijn data kan behouden.
Je bedoelt met 'de andere controller' de SBS-bak voor een ander domein ? Een server die dus, in alle waarschijnlijk, de DNS-zones voor je huidige omgeving niet bevat ? Dat ding mag dan wel DNS draaien, maar je zult wel wat wijzigingen moeten aanbrengen voordat je huidige clients en server(s) zich registreren op een andere DNS server.

Ik krijg toch de indruk dat hier nogal wat informatie mist.. once again, stel eerst eens een plan op waarin je alle zaken aftikt (policies, software distributie, etc etc) voordat je als een wildeman een domein gaat afbreken. Je kan jezelf erg hard in de vingers snijden met dit soort acties.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

lammmetak schreef op vrijdag 02 december 2005 @ 10:09:
Het ging me meer om problemen die zouden onstaan zoals permissies en hoe ik de active directory er veilig af krijg zodat ik mijn data kan behouden.
Nou snap ik nog steeds niet waarom je dit wilt doen, maar dat zal wel een kostenbesparings-iets zijn ofzo.

Je hebt het eigenlijk over de technische invulling van een bedrijfsfusie (als ik het eventjes bedrijfsorganisatorisch bekijk).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

BackSlash32 schreef op vrijdag 02 december 2005 @ 11:21:
[...]


Nou snap ik nog steeds niet waarom je dit wilt doen, maar dat zal wel een kostenbesparings-iets zijn ofzo.

Je hebt het eigenlijk over de technische invulling van een bedrijfsfusie (als ik het eventjes bedrijfsorganisatorisch bekijk).
Niet noodzakelijk natuurlijk.. kan ook een stukje shared hosting zijn. In dat geval wil je je huidige rechten bewaren en geen rechten uitdelen aan anderen. Dus meer het technische equivalent van onderverhuur. ;)

  • wvdburgt
  • Registratie: Juli 2003
  • Laatst online: 23-01 21:57

wvdburgt

MacOS all the way baby!

Topicstarter
Wij willen dit doen omdat als ik moet printen moet ik naar een andere pc die in het andere domein zit. voor mail moet ik dit of via webmail of ook een computer hebben die in dat domein zit. Aangezien onze data veel te groot is voor hun file server moet ik dus van onze server een file server maken zodat wij wel onze data aan kunnen in hun domein. Onze server onderdeel maken van hun domein is geen oplossing aangezien het een SBServer is en dus geen forrest kan maken.

AMD Ryzen 5 7600X | Asus Prime X670-P | Corsair Vengeance 2x 16GB DDR5 PC5200 | XFX Speedser MERC 310 AMD 7900 XTX| http://wvdburgt.nl


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

lammmetak schreef op vrijdag 02 december 2005 @ 15:44:
Onze server onderdeel maken van hun domein is geen oplossing aangezien het een SBServer is
En dus hef je je eigen domain maar op met alle consequenties vandien?
hakkietakkie-oewa routertje + wat printservertjes en je kan die printers op je eigen server gebruiken.

Maar je moet het zelf weten hoor :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Ben je nou bezig om te fuseren met "hun" of wat is de bedoeling? Want jij geeft als reden dat je moet printen op een pc butien je eigen domein (wat gewoon kan btw, zonder trust en zonder verder ge-emmer met afbreken van domeinen -> die printer zal een netwerk printer zijn, dus gewoon installeren op je eigen DC en karren met die papiertjes.) terwijl niemand hier de indruk heeft dat je technisch en vooral organisatorisch geneog bij bent om dit te gaan probren: je weet niet eens wat je aan het doen bent zo. Wil je nou
a) beide domeinen moeten één domein worden. de bedrijven zijn samen één en ***ER ZIJN GENOEG SBS CLIENT LICENSES OM JE HELE DOMEIN ER BIJ IN TE PROPPEN*** bij de andere server.
b) jullie zitten toevallig saampies in één pand en je bent te cheap om een eigen printer te kopen. Je wilt dat het andere bedrijf volledige controle krijgt over al jouw privacy gevoelige gegevens en klantinfo. Je hele bedrijf wordt dus op goed geluk bij een ander in het AD geduwd en dan bidden dat daar geen rotstreken worden uitgehaald.
c) je wilt gewoon printen en niet al dat gezeur van die mensen hier.
Pagina: 1