mineralwasser
Goto Top

Alten Domain Controller sauber entfernen

Hallo Leute

Ich habe zwei neue DCs (Win2k12 R2) installiert und die FSMO Rollen, GC sowie DNS und DHCP darauf verschoben. Die Einstellungen geändert, dass DNS auf die neuen Server zeigen. Soweit funktioniert nun alles gut. Nun würde ich gerne den alten DC (Win2k8) aus der Domäne entfernen. Forestlevel und Domänenlevel sind im Moment noch Win2k3.

Nun sind bei mir ein paar Fragen aufgetaucht, welche ich die Antworten nicht online gefunden habe.

Kann der DC während dem Betrieb entfernt werden oder sollte es besser Off-Peak geschehen?
Was ist die richtige Vorgehensweise?
1. Alten DC entfernen
2. Alle Rollen entfernen
3. Dann das Domänenlevel und schliesslich Forest auf Win2k12 anheben?

Nun zum Testen, ob es Probleme machen könnnte, habe ich einmal den alten DC heruntergefahren und dies hat tatsächlich Probleme bei einigen Usern geführt. Das waren wohl diejenigen, die sich am morgen mit dem alten DC angemeldet haben. Auch nach einem Neustart des Computers wollten sich die Computer nicht mit den neuen DCs anmelden. Kann ich das so nicht testen, weil der alte wirklich zuerst aus der Domäne gelöscht werden muss oder liegt das Problem irgendwo anders?

Vielen Dank

Content-ID: 266824

Url: https://administrator.de/contentid/266824

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

departure69
departure69 19.03.2015 um 10:55:24 Uhr
Goto Top
Hallo.

"Entfernen", wie auch immer Du das genau meinst, ist sicherlich nicht die richtige Methode.

Einen DC, der nicht mehr DC sein soll, würde ich erstmal demoten (dcpromo.exe), danach ist er erstmal einfacher Mitgliedsserver. Danach haben die Clients gar keine andere Chance mehr, als einen der beiden neuen DCs als Logonserver zu verwenden. Dann kannst Du ihn wieder testweise herunterfahren und nachsehen, ob bei den Clients alles funktioniert (ich vermute schon).

Wenn Du den Server danach wirklich komplett loswerden willst, und garantiert nichts mehr darauf läuft, das Du noch irgendwie brauchst, würde ich ihn entweder herunterfahren und danach im AD das Computerkonto löschen, oder ihn im lfd. Betrieb aus der Domäne nehmen und in eine Workgroup stecken, kommt auf dasselbe heraus, in beiden Fällen ist er danach kein Domänenmitglied mehr.

Danach kannst Du es angehen, das Domänenfunktionslevel hochzuziehen.


Viele Grüße

von

departure69
Dani
Dani 19.03.2015 um 11:15:52 Uhr
Goto Top
Moin,
schließe mich @departure69' Kommentar an.


Gruß,
Dani
SlainteMhath
SlainteMhath 19.03.2015 um 11:36:23 Uhr
Goto Top
Moin,

fast ACK face-smile
Nach dem Demote per dcpromo.exe gibts eh kein zurück mehr. Ich würde dir dann zeitnah eine komplette Neuinstallation unter neuem Namen empfehlen.

lg,
Slainte
Lochkartenstanzer
Lochkartenstanzer 19.03.2015 um 11:48:32 Uhr
Goto Top
Moin,

Welcher Art waren denn die Problem, die die Clients hatten, nachdem Du den Server "abgeschaltet" hast und was für clients waren es denn?

Denn wen ein DC "weg" ist, der keine wesentlichen Rollen hat, sollte das Netz eigentlich ordentlich weiterlaufen. Wenn irgendetwas "hakt", stimtm in Deinem doänen gefüge was nicht.

Ein DC wird eigentlich durch demoten mit dcpromo sauber entfernt, aber wenn man diesen weg geht, gibt es kein zurück mehr.

lks
Mineralwasser
Mineralwasser 19.03.2015 aktualisiert um 12:26:49 Uhr
Goto Top
Sorry für meine nicht genaue Definition. Ich habe mit entfernen demoten gemeint. Die Netzlaufwerke habe nicht mehr funktioniert, liegt eventuell am DFS und ich konnte von denen auch nicht mehr DNS auflösen obwohl via ipconfig /all habe ich die neuen DNS Server gesehen. Es handelt sich um Windows 7 Clients.

Züruck zu meinen Fragen:
1. Kann der DC während dem Betrieb demoted werden oder sollte es besser Off-Peak geschehen? Klar ist es immer Off-Peak.
2. Bevore ich den DC demote sollte ich ihn doch einfach herunterfahren können und dabei sollte doch alles wie gewohnt weiter funktionieren oder?
Lochkartenstanzer
Lochkartenstanzer 19.03.2015 um 12:34:38 Uhr
Goto Top
Zitat von @Mineralwasser:

Züruck zu meinen Fragen:
1. Kann der DC während dem Betrieb demoted werden oder sollte es besser Off-Peak geschehen? Klar ist es immer Off-Peak.

Prinzipiell ja. wie willst Du den denn somst demoten, wenn nicht während dem Betrieb? face-smile
Du hast natürlich weniger Hektik, wenn Du es nicht gerade während der Hauptarbeitszeit machst und dabei etwas schiefgeht.

2. Bevore ich den DC demote sollte ich ihn doch einfach herunterfahren können und dabei sollte doch alles wie gewohnt weiter
funktionieren oder?

Genau das sagte ich doch. Wenn alles "sauber" und die anderen DCs funktionieren, sollte der "Ausfall" eines DCs eigentlich nicht zu Problemen führen. Wenn da nun Probleme auftauchen, sollte man voher nachforschen, woran es genau hängt.

lks
SlainteMhath
SlainteMhath 19.03.2015 um 12:43:34 Uhr
Goto Top
liegt eventuell am DFS und ich konnte von denen auch nicht mehr DNS auflösen
Das hier nie einer von Anfang an alle Fakten auf den Tisch bringen kann... .)

DFS: Vor dem Abschalten dem Namespace(s) einen/mehrere andere NS-Server zuweisen und den den du abschalten willst deaktvieren und entfernen
DNS: Um alle Unklarheiten (bei den Clients) zu vermeiden, vor dem Abschalten des alten Servers als Primären DNS (entweder per Script oder DHCP) den neuen DC eintragen.
Mineralwasser
Mineralwasser 19.03.2015 aktualisiert um 16:22:01 Uhr
Goto Top
Das hier nie einer von Anfang an alle Fakten auf den Tisch bringen kann... .)
DFS: Vor dem Abschalten dem Namespace(s) einen/mehrere andere NS-Server zuweisen und den den du abschalten willst deaktvieren und entfernen
Der DFS lief sowieso nicht auf dem Server.

DNS: Um alle Unklarheiten (bei den Clients) zu vermeiden, vor dem Abschalten des alten Servers als Primären DNS (entweder per Script oder DHCP) den neuen DC eintragen.
Das habe ich auch gemacht und wie schon erwähnt oben mit ipconfig überprüft. DNS Einträge waren korrekt, es hat jedoch trotzdem nicht funktioniert.

Vielen Dank für eure Hilfe. Das Problem lag am Checkpoint VPN Client. Nachdem ich den bei sämtlichen Notebooks deinstalliert habe, lief alles einwandfrei.
Lochkartenstanzer
Lochkartenstanzer 19.03.2015 um 16:22:11 Uhr
Goto Top
Zitat von @Mineralwasser:

Wie auch immer habe ich das Problem gelüftet und zwar lag es am Checkpoint VPN Client. Nachdem ich den deinstalliert habe,
hat alles einwandfrei funktioniert.

Nur der Neugierde halber:

Auf dem Server? oder auf dem Client?

lks
Mineralwasser
Mineralwasser 19.03.2015 aktualisiert um 16:56:22 Uhr
Goto Top
Klar, auf den Clients. Aber zum Glück habe ich den DC zum Testen zuerst ausgeschaltetface-wink