nixverstehen
Goto Top

Alten DC nach Migration herabstufen

Hallo zusammen,

ich habe mal wieder eine Anfänger-Frage, bei der ich mich nicht traue, ohne Rat weiter zu machen.

Letzten Mittwoch hat unser Dienstleister mir bei der Migration unseres DC (2016 Essentials) auf neue Hardware und 2022 Standard geholfen. Das läuft auch alles rund.
Nun wollte ich den alten DC herunterstufen. Die Schritte hierzu sind mir einigermaßen klar. Ich habe folgende Anleitung verwendet:
How to demote a domain controller

Allerdings erhalte ich im Laufe der Prozedur die Fehlermeldung, das der Zertifikatserver auf dem alten DC noch installiert ist.

Bevor ich jetzt etwas zerschieße dachte ich mir, ich frage lieber mal in die Runde, was zu tun wäre. Wird der Zertifikatserver standardmäßig installiert? Ich kann mich nicht erinnern, diese Rolle nachträglich installiert zu haben. Muss ich die Zertifikatserver-Rolle vorab auf dem neuen DC installieren oder brauche ich den Zertifikatserver in einem 08/15-AD überhaupt nicht?

Ich wäre jetzt eben so vorgegangen:

1. Zertifikatserver-Rolle deinstallieren
2. Neu starten
3. DC herabstufen
4. Neu starten
5. DNS-Server-Rolle entfernen
6. Server aus der Domäne nehmen.

Vorab vielen Dank.

Gruß NV

Content-Key: 1507951748

Url: https://administrator.de/contentid/1507951748

Printed on: February 25, 2024 at 06:02 o'clock

Member: rzlbrnft
rzlbrnft Nov 15, 2021 updated at 10:42:49 (UTC)
Goto Top
Wenn du nicht weißt, was der Zertifikatserver macht, solltest du genau das erstmal herausfinden.
Weil ohne Zertifikate die sich automatisch erneuern, kann es sein das irgendwann, wenn die ausgestellten Zertifikate auslaufen, etliche Dienste nicht mehr funktionieren.

Zertifikate brauchst du z.B. für Radius Authentifikation, Webserver mit HTTPS, ggf. Smartcard Logins per Zertifikat.

Der Dienst installiert sich auch nicht von selbst, das muss man manuell machen, also wird sich derjenige, der den installiert hat, schon was dabei gedacht haben.

Du solltest dir mal über die MMC die jeweiligen Benutzer und Computerzertifikate auf den PCs und Servern anschauen, dann siehst du ob da welche drin sind, die von dieser Zertifizierungsstelle ausgestellt wurden.
Wenn auf keinem Rechner in der Domäne so eins benutzt wird, dann ist sie wohl nicht in Betrieb.

Das Beste wird aber sein das mit eurem Dienstleister zu besprechen, der sollte euch auch die Zertifizierungsstelle migrieren können.
Member: lcer00
lcer00 Nov 15, 2021 at 10:59:54 (UTC)
Goto Top
Hallo,

überprüfe zuerst mal, welche Zertifikate die Zertifizierungsstelle ausgestellt hat (auf dem alten DC: Zertifizierungsstelle->ausgestellte Zertifikate). Das kann helfen, die Suche einzugrenzen.

Ggf. postest Du die Namen der Zertifikatsvorlagen der ausgestellten Zertifikate. Dann können wir suchen helfen.

Grüße

lcer
Member: NixVerstehen
NixVerstehen Nov 15, 2021 at 13:49:14 (UTC)
Goto Top
Update:

Ich habe tatsächlich vor einigen Jahren mal den Zertifikatserver zum Testen installiert...und glücklicherweise Notizen in meinen Unterlagen gemacht. Also bin ich wie folgt vorgegangen:

1. Zertifizierungsstellen-Webregistrierung deinstalliert
2. Zertifizierungsserver deinstalliert
3. AD-Domänendienste-Rolle entfernt -> Server heruntergestuft
4. Ein paar Stunden gewartet
5. DNS-Rolle entfernt
6. Server aus der Domäne genommen und heruntergefahren.

Schritt 2 geht erst nach Schritt 1, sonst kommt eine Fehlermeldung. Ich hoffe, das war fachlich einigermaßen korrekt.

Gruß NV
Member: rzlbrnft
rzlbrnft Nov 16, 2021 at 17:11:37 (UTC)
Goto Top
Sofern du allen Geräten mitgeteilt hast unter welcher IP sie den DNS bzw. DC jetzt finden können sollte das so hinhauen.
Member: NixVerstehen
NixVerstehen Nov 18, 2021 updated at 19:07:22 (UTC)
Goto Top
@rzlbrnft: Yep...der ganze Gerätezoo hat jetzt die neuen DNS. Da merkt man erst mal, was sich so im Laufe der Zeit ansammelt.

Ok, hat funktioniert. Alles läuft wie Butter. Hab dann noch auf meinem Hyper-V Host einen 2. DC (2019 Standard) hochgezogen, weil noch eine Lizenz vorhanden war. Fliegt auch. Mit meinen bescheidenen Kenntnissen bin ich mal davon ausgegangen, das ich auf dem NIC von DC1 als ersten DNS die IP von DC2 eintrage, als zweiten DNS die IP von DC1 und beim DC1 genau umgekehrt?

DCDIAG zeigt bei beiden DC keine Fehler, repadmin /replsummary zeigt:

Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
 DC01                      04m:21s    0 /   5    0
 DC02V                     06m:02s    0 /   5    0


Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
 DC01                      06m:02s    0 /   5    0
 DC02V                     04m:21s    0 /   5    0

repadmin /showrepl zeigt:

DC=firma,DC=local
    Default-First-Site-Name\DC02V über RPC
        DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
        Letzter Versuch am 2021-11-18 20:02:20 war erfolgreich.

CN=Configuration,DC=firma,DC=local
    Default-First-Site-Name\DC02V über RPC
        DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
        Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.

CN=Schema,CN=Configuration,DC=firma,DC=local
    Default-First-Site-Name\DC02V über RPC
        DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
        Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.

DC=DomainDnsZones,DC=firma,DC=local
    Default-First-Site-Name\DC02V über RPC
        DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
        Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.

DC=ForestDnsZones,DC=firma,DC=local
    Default-First-Site-Name\DC02V über RPC
        DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
        Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.

Sollte passen, oder?

Gruß NV
Member: rzlbrnft
rzlbrnft Nov 19, 2021 updated at 10:16:11 (UTC)
Goto Top
Ist eine gängige Lösung, wahlweise könnte der DNS auch erst sich selbst fragen, aber da gibt es unterschiedliche Meinungen. Er sollte in der Liste auf jeden Fall an irgendeiner Stelle localhost oder seine eigene IP haben, wo genau wird für den Realbetrieb wenig Unterschied machen in der Größenordnung.
https://docs.microsoft.com/en-us/archive/blogs/askds/friday-mail-sack-sa ...