6
Alten DC nach Migration herabstufen
Hallo zusammen,
ich habe mal wieder eine Anfänger-Frage, bei der ich mich nicht traue, ohne Rat weiter zu machen.
Letzten Mittwoch hat unser Dienstleister mir bei der Migration unseres DC (2016 Essentials) auf neue Hardware und 2022 Standard geholfen. Das läuft auch alles rund.
Nun wollte ich den alten DC herunterstufen. Die Schritte hierzu sind mir einigermaßen klar. Ich habe folgende Anleitung verwendet:
How to demote a domain controller
Allerdings erhalte ich im Laufe der Prozedur die Fehlermeldung, das der Zertifikatserver auf dem alten DC noch installiert ist.
Bevor ich jetzt etwas zerschieße dachte ich mir, ich frage lieber mal in die Runde, was zu tun wäre. Wird der Zertifikatserver standardmäßig installiert? Ich kann mich nicht erinnern, diese Rolle nachträglich installiert zu haben. Muss ich die Zertifikatserver-Rolle vorab auf dem neuen DC installieren oder brauche ich den Zertifikatserver in einem 08/15-AD überhaupt nicht?
Ich wäre jetzt eben so vorgegangen:
1. Zertifikatserver-Rolle deinstallieren
2. Neu starten
3. DC herabstufen
4. Neu starten
5. DNS-Server-Rolle entfernen
6. Server aus der Domäne nehmen.
Vorab vielen Dank.
Gruß NV
ich habe mal wieder eine Anfänger-Frage, bei der ich mich nicht traue, ohne Rat weiter zu machen.
Letzten Mittwoch hat unser Dienstleister mir bei der Migration unseres DC (2016 Essentials) auf neue Hardware und 2022 Standard geholfen. Das läuft auch alles rund.
Nun wollte ich den alten DC herunterstufen. Die Schritte hierzu sind mir einigermaßen klar. Ich habe folgende Anleitung verwendet:
How to demote a domain controller
Allerdings erhalte ich im Laufe der Prozedur die Fehlermeldung, das der Zertifikatserver auf dem alten DC noch installiert ist.
Bevor ich jetzt etwas zerschieße dachte ich mir, ich frage lieber mal in die Runde, was zu tun wäre. Wird der Zertifikatserver standardmäßig installiert? Ich kann mich nicht erinnern, diese Rolle nachträglich installiert zu haben. Muss ich die Zertifikatserver-Rolle vorab auf dem neuen DC installieren oder brauche ich den Zertifikatserver in einem 08/15-AD überhaupt nicht?
Ich wäre jetzt eben so vorgegangen:
1. Zertifikatserver-Rolle deinstallieren
2. Neu starten
3. DC herabstufen
4. Neu starten
5. DNS-Server-Rolle entfernen
6. Server aus der Domäne nehmen.
Vorab vielen Dank.
Gruß NV
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1507951748
Url: https://administrator.de/contentid/1507951748
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Wenn du nicht weißt, was der Zertifikatserver macht, solltest du genau das erstmal herausfinden.
Weil ohne Zertifikate die sich automatisch erneuern, kann es sein das irgendwann, wenn die ausgestellten Zertifikate auslaufen, etliche Dienste nicht mehr funktionieren.
Zertifikate brauchst du z.B. für Radius Authentifikation, Webserver mit HTTPS, ggf. Smartcard Logins per Zertifikat.
Der Dienst installiert sich auch nicht von selbst, das muss man manuell machen, also wird sich derjenige, der den installiert hat, schon was dabei gedacht haben.
Du solltest dir mal über die MMC die jeweiligen Benutzer und Computerzertifikate auf den PCs und Servern anschauen, dann siehst du ob da welche drin sind, die von dieser Zertifizierungsstelle ausgestellt wurden.
Wenn auf keinem Rechner in der Domäne so eins benutzt wird, dann ist sie wohl nicht in Betrieb.
Das Beste wird aber sein das mit eurem Dienstleister zu besprechen, der sollte euch auch die Zertifizierungsstelle migrieren können.
Weil ohne Zertifikate die sich automatisch erneuern, kann es sein das irgendwann, wenn die ausgestellten Zertifikate auslaufen, etliche Dienste nicht mehr funktionieren.
Zertifikate brauchst du z.B. für Radius Authentifikation, Webserver mit HTTPS, ggf. Smartcard Logins per Zertifikat.
Der Dienst installiert sich auch nicht von selbst, das muss man manuell machen, also wird sich derjenige, der den installiert hat, schon was dabei gedacht haben.
Du solltest dir mal über die MMC die jeweiligen Benutzer und Computerzertifikate auf den PCs und Servern anschauen, dann siehst du ob da welche drin sind, die von dieser Zertifizierungsstelle ausgestellt wurden.
Wenn auf keinem Rechner in der Domäne so eins benutzt wird, dann ist sie wohl nicht in Betrieb.
Das Beste wird aber sein das mit eurem Dienstleister zu besprechen, der sollte euch auch die Zertifizierungsstelle migrieren können.
Hallo,
überprüfe zuerst mal, welche Zertifikate die Zertifizierungsstelle ausgestellt hat (auf dem alten DC: Zertifizierungsstelle->ausgestellte Zertifikate). Das kann helfen, die Suche einzugrenzen.
Ggf. postest Du die Namen der Zertifikatsvorlagen der ausgestellten Zertifikate. Dann können wir suchen helfen.
Grüße
lcer
überprüfe zuerst mal, welche Zertifikate die Zertifizierungsstelle ausgestellt hat (auf dem alten DC: Zertifizierungsstelle->ausgestellte Zertifikate). Das kann helfen, die Suche einzugrenzen.
Ggf. postest Du die Namen der Zertifikatsvorlagen der ausgestellten Zertifikate. Dann können wir suchen helfen.
Grüße
lcer
Update:
Ich habe tatsächlich vor einigen Jahren mal den Zertifikatserver zum Testen installiert...und glücklicherweise Notizen in meinen Unterlagen gemacht. Also bin ich wie folgt vorgegangen:
1. Zertifizierungsstellen-Webregistrierung deinstalliert
2. Zertifizierungsserver deinstalliert
3. AD-Domänendienste-Rolle entfernt -> Server heruntergestuft
4. Ein paar Stunden gewartet
5. DNS-Rolle entfernt
6. Server aus der Domäne genommen und heruntergefahren.
Schritt 2 geht erst nach Schritt 1, sonst kommt eine Fehlermeldung. Ich hoffe, das war fachlich einigermaßen korrekt.
Gruß NV
Ich habe tatsächlich vor einigen Jahren mal den Zertifikatserver zum Testen installiert...und glücklicherweise Notizen in meinen Unterlagen gemacht. Also bin ich wie folgt vorgegangen:
1. Zertifizierungsstellen-Webregistrierung deinstalliert
2. Zertifizierungsserver deinstalliert
3. AD-Domänendienste-Rolle entfernt -> Server heruntergestuft
4. Ein paar Stunden gewartet
5. DNS-Rolle entfernt
6. Server aus der Domäne genommen und heruntergefahren.
Schritt 2 geht erst nach Schritt 1, sonst kommt eine Fehlermeldung. Ich hoffe, das war fachlich einigermaßen korrekt.
Gruß NV
Sofern du allen Geräten mitgeteilt hast unter welcher IP sie den DNS bzw. DC jetzt finden können sollte das so hinhauen.
@rzlbrnft: Yep...der ganze Gerätezoo hat jetzt die neuen DNS. Da merkt man erst mal, was sich so im Laufe der Zeit ansammelt.
Ok, hat funktioniert. Alles läuft wie Butter. Hab dann noch auf meinem Hyper-V Host einen 2. DC (2019 Standard) hochgezogen, weil noch eine Lizenz vorhanden war. Fliegt auch. Mit meinen bescheidenen Kenntnissen bin ich mal davon ausgegangen, das ich auf dem NIC von DC1 als ersten DNS die IP von DC2 eintrage, als zweiten DNS die IP von DC1 und beim DC1 genau umgekehrt?
DCDIAG zeigt bei beiden DC keine Fehler, repadmin /replsummary zeigt:
repadmin /showrepl zeigt:
Sollte passen, oder?
Gruß NV
Ok, hat funktioniert. Alles läuft wie Butter. Hab dann noch auf meinem Hyper-V Host einen 2. DC (2019 Standard) hochgezogen, weil noch eine Lizenz vorhanden war. Fliegt auch. Mit meinen bescheidenen Kenntnissen bin ich mal davon ausgegangen, das ich auf dem NIC von DC1 als ersten DNS die IP von DC2 eintrage, als zweiten DNS die IP von DC1 und beim DC1 genau umgekehrt?
DCDIAG zeigt bei beiden DC keine Fehler, repadmin /replsummary zeigt:
Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
DC01 04m:21s 0 / 5 0
DC02V 06m:02s 0 / 5 0
Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
DC01 06m:02s 0 / 5 0
DC02V 04m:21s 0 / 5 0repadmin /showrepl zeigt:
DC=firma,DC=local
Default-First-Site-Name\DC02V über RPC
DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
Letzter Versuch am 2021-11-18 20:02:20 war erfolgreich.
CN=Configuration,DC=firma,DC=local
Default-First-Site-Name\DC02V über RPC
DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.
CN=Schema,CN=Configuration,DC=firma,DC=local
Default-First-Site-Name\DC02V über RPC
DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.
DC=DomainDnsZones,DC=firma,DC=local
Default-First-Site-Name\DC02V über RPC
DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.
DC=ForestDnsZones,DC=firma,DC=local
Default-First-Site-Name\DC02V über RPC
DSA-Objekt-GUID: 2f1848a9-441a-470f-8071-a1ef5e1bda8d
Letzter Versuch am 2021-11-18 19:56:13 war erfolgreich.Sollte passen, oder?
Gruß NV
Ist eine gängige Lösung, wahlweise könnte der DNS auch erst sich selbst fragen, aber da gibt es unterschiedliche Meinungen. Er sollte in der Liste auf jeden Fall an irgendeiner Stelle localhost oder seine eigene IP haben, wo genau wird für den Realbetrieb wenig Unterschied machen in der Größenordnung.
https://docs.microsoft.com/en-us/archive/blogs/askds/friday-mail-sack-sa ...
https://docs.microsoft.com/en-us/archive/blogs/askds/friday-mail-sack-sa ...
